Créer un compte dédié à la jonction au Domaine – MDT – SCCM – Déploiement d’OS

Lorsque j’ai commencé à pratiquer la MDT, les techniciens du SGAMI n’avaient pas jugé utile d’expliquer les finesses de l’outil et nous l’utilisions avec notre compte administrateur du domaine. Depuis que je gère une infra Windows à moi tout seul et que j’ai mis le en place le trio : AD-DS + MDT + WDS. J’ai mis un peu de sécurité et je me suis un peu rapproché des bonnes pratiques.
Une des actions a été de revoir les autorisations de compte de service, notamment celui pour la jonction de domaine. En règle générale. Utiliser un compte Admin du Domain est une mauvaise pratique de sécurité.

Remarque Importante :
L’utilisation d’un compte Admin du Domaine pour la jonction de systèmes au domaine n’est pas une pratique recommandée en matière de sécurité. Il s’agit d’un compte pour l’ensemble du domaine avec un accès à chaque serveur et ordinateur en général. De plus, les comptes d’administrateur de domaine ont généralement accès à de nombreuses autres ressources Windows du domaine Active Directory. C’est entre autre pour ces raisons que l’approche du compte le moins privilégié devrait toujours être utilisée.

Connectez vous à votre contrôleur de Domaine
Créez un compte standard utilisateur du domaine.
La bonne pratique suggère de créer de nouveaux comptes pour être sûr qu’ils ne seront utilisés que pour le processus de jointure de domaine automatique.
Définissez le mot de passe, si possible fort (comprenant des majuscules, minuscules, des symboles, respectant une longueur, etc).
Exemples de nom d’utilisateur: djoin, domainjoin, dojoin, lapdjoin, lapdomainjoin …
Définissez le mot de passe du compte de service sur «le mot de passe n’expire jamais».

good1Capture

On vérifie que c’est bien coché pour « Le mot de passe n’expire jamais ».

good2Capture
Toujours sur le contrôleur, lancez « Utilisateurs et ordinateurs Active Directory ».
Click sur la vue de gauche pour avoir le Menu et descendre sur « Propriétés ».

good3Capture

Remarque:
Il est recommandé de définir des autorisations sur l’OU parent en fonction de la structure de l’OU de l’entreprise. De cette manière cela évite de définir des autorisations sur plusieurs OU à chaque emplacement.

On se retrouve avec la fenêtre de propriétés de l’OU visée

good4Capture

On clique sur l’onglet « Sécurité » puis sur le bouton « Avancé »

good5Capture

On clique sur « Ajouter »

good6Capture

La fenêtre autorisation apparait et c’est dans celle-ci que les réglages se feront.

good7Capture

On clique sur Sélectionnez un principal

Une fenêtre PopUp  pour saisir le nom de l’utilisateur. Dans l’exemple « lapdomainjoin »

good8Capture

Vérifier que « S’applique à : » est positionné sur « cet objet et tous ceux descendants »

Ensuite cocher :

* Créer des objets ordinateurs
* Suppr. des objets ordinateurs

good81aaCapture

Aller sur « S’applique à : »  et positionné sur « Objets Ordinateurs descendants »

good81bbCapture

Les réglages concernés sont les suivants :

* Lire toutes les propriétés
* Écrire toutes les propriétés
* Autorisations de lecture
* Modifier les autorisations
* Modifier le mot de passe
* Réinitialiser le mot de passe
* Écriture validée vers le nom d’hôte DNS
* Écriture validée vers le nom de principal du service

Tips
Pour résoudre les problèmes liés au processus de jointure. L’utilisation de l’utilitaire Microsoft CMtrace et du bloc-notes pour consulter le fichier «NetSetup.log» situé dans C:\Windows\Debug peut grandement aider.

Anecdote :
Je me suis forcé à mettre ces compte de service en place après la mauvaise plaisanterie de mes collègues Linuxiens qui avaient verrouillé mon unique compte de service


 Liens :

Modern Deployment

Publicités
Cet article, publié dans Active Directory, AD DS, CustomSettings.ini, déploiement, Deploiement, Deployment, links, MDT 2013, Server 2016, Tips, Windows 10, Windows 7, Windows Server, est tagué , , , , , , , , , , , , , , , , . Ajoutez ce permalien à vos favoris.

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s