Установка Windows 7 — часть 21: Защита MDT (часть 2)

Автор: Aport Четверг, Ноябрь 13th, 2014 Нет комментариев

Рубрика: Windows 7

В предыдущей части этого цикла статей мы рассмотрели проблемы безопасности, связанные с двумя учетными записями, используемыми в MDT:
Учетная запись, указанная в файле Bootstrap.ini, используется целевыми компьютерами для подключения к установочному ресурсу на сервере MDT
Учетная запись, указанная в файле CustomSettings.ini, используется целевыми компьютерами для присоединения к домену на финальной стадии установки.

Я говорил, что в простой тестовой среде вполне нормально использовать встроенную учетную запись администратора домена для обеих вышеуказанных задач. Однако из соображений безопасности в производственной среде следует использовать отдельные учетные записи для каждой задачи, и предпочтительнее использовать учетные записи простых пользователей домена, а не администраторов. В предыдущей части мы создали две новые учетные записи пользователей домена: mdt_build для файла Bootstrap.ini и mdt_join для файла CustomSettings.ini. После этого мы обновили наш установочный ресурс, поскольку наш Bootstrap.ini файл был изменен, а затем прожгли наш LiteTouchPE_x64.iso на CD носитель. Если мы теперь загрузим наши целевые компьютеры с помощью этого CD, MDT установит на них Windows 7, но все изменения, введенные в MDT базу данных, не будут применены, что приведет к сообщению об ошибке SQL Connection. Проблема заключается в том, что наша учетная запись CONTOSO\mdt_build не имеет прав доступа к базе данных MDT с использованием Windows Integrated Security. В этой части я покажу вам, как разрешать эту проблему SQL, а также расскажу, как обеспечивать безопасность подключения компьютеров к домену.
Установка SQL Server Management Studio

Чтобы изменить права доступа к базе данных MDT на сервере SQL Server, мы можем воспользоваться SQL Server Management Studio. В этом цикле статей мы используем SQL Server 2008 Express Edition SP1, который мы установили на сервер MDT в 15 части этого цикла. Чтобы это сделать, мы установим Microsoft SQL Server 2008 Management Studio Express на рабочую станцию администратора под управлением Windows 7, а затем воспользуемся этим приложением для предоставления необходимых прав нашей учетной записи CONTOSO\mdt_build. Microsoft SQL Server 2008 Management Studio Express можно бесплатно загрузить с сайта Microsoft.

Начинаем с двойного нажатия на загруженном установочном файле SQLManagementStudio_x64_ENU.exe. У нас откроется окно с предупреждением, что позже нужно установить пакет обновления Service Pack 1 (рисунок 1):

Рисунок 1: Шаг 1 установки SQL Server 2008 Management Studio Express

Нажатие кнопки Запустить программу (Run Program) открывает центр установки SQL Server Installation Center (рисунок 2):

Рисунок 2: Шаг 2 установки SQL Server 2008 Management Studio Express

Нажмите Установка (Installation) слева, чтобы отобразить опции установки (рисунок 3):

Рисунок 3: Шаг 3 установки SQL Server 2008 Management Studio Express

Выбор первой опции на этой странице запускает установку правил поддержки с целью проверки возможности продолжения процесса установки (рисунок 4):

Рисунок 4: Шаг 4 установки SQL Server 2008 Management Studio Express.

В следующем окне показано, что для установки требуется ключ продукта (рисунок 5):

Рисунок 5: Шаг 5 установки SQL Server 2008 Management Studio Express

Затем примите условия лицензионного соглашения EULA и нажмите Установить. Правила поддержки установки будут установлены (рисунок 6):

Рисунок 6: Шаг 6 установки SQL Server 2008 Management Studio Express

На странице Выбор функций (Feature Selection) убедитесь, что опция Management Studio ‘ Basic выбрана (рисунок 7):

Рисунок 7: Шаг 7 установки SQL Server 2008 Management Studio Express

Выполните оставшиеся шаги, пока процесс установки не будет завершен (рисунок 8):

Рисунок 8: Шаг 8 установки SQL Server 2008 Management Studio Express

Теперь загрузите SQL Server 2008 Service Pack 1 и дважды нажмите на файле установки SQLServer2008SP1-KB968369-x64-ENU, чтобы начать установку. Снова будет отображен центр установки SQL Server Installation Center, и после выбора первой опции будет отображена приветственная страница, и установка правил поддержки будет запущена (рисунок 9):

Рисунок 9: установка SQL Server 2008 Service Pack 1

Затем продолжите процесс установки SP1, принимая все умолчания, пока пакет обновления не будет установлен.
Настройка прав доступа с помощью SQL Server Management Studio

Теперь давайте воспользуемся SQL Server Management Studio для настройки соответствующих прав доступа к базе данных для учетной записи CONTOSO\mdt_build. Начнем с запуска SQL Server Management Studio из меню Пуск (рисунок 10):

Рисунок 10: Запуск SQL Server Management Studio

Когда появится диалог подключения к серверу (Connect To Server), выберите способ проверки подлинности Windows Authentication (рисунок 11):

Рисунок 11: Диалог подключения к серверу

Нажмите на поле Имя сервера (Server Name) и затем выберите Обзор (Browse For More) (рисунок 12):

Рисунок 12: Выбор имени сервера

Когда диалог Browse For Servers отобразит доступные серверы SQL, выберите локальный сервер SQLEXPRESS, который установлен на вашем сервере MDT (рисунок 13):

Рисунок 13: Выбор локального сервера SQLEXPRESS

Нажмите OK, чтобы закрыть диалог Browse For Servers и вернуться в диалог Connect To Server. SQLEXPRESS будет отображен в качестве имени сервера SQL (рисунок 14):

Рисунок 14: SQLEXPRESS выбран в качестве имени сервера SQL

Нажатие на кнопку Подключить (Connect) заставляет SQL Server Management подключиться к SQLEXPRESS серверу на вашем сервере MDT и открыть консоль Microsoft SQL Server Management Studio (рисунок 15):

Рисунок 15: Консоль Microsoft SQL Server Management Studio

В консоли Management Studio разверните закладку Безопасность (Security) и затем нажмите правой клавишей на Logins, и выберите New Login из контекстного меню (рисунок 16):

Рисунок 16: Создание нового логина для сервера SQL

На странице Общие (General) диалога Login ‘ New нажмите Поиск (Search) и выберите учетную запись CONTOSO\mdt_build из Active Directory. После этого учетная запись будет отображена в поле Login Name на этой странице. Также нужно изменить параметр основной базы данных (Default Database) в нижней части страницы с master на MDT (поскольку MDT было тем именем, которое мы дали нашей базе данных, когда создавали ее в 15 части этого цикла). Страница General диалога Login ‘ New теперь должна выглядеть, как на рисунке 17:

Рисунок 17: Страница General после настройки параметров

Не вносите никаких изменений на странице ролей сервера (Server Roles). На странице сопоставления пользователей (User Mappings) выберите опцию для MDT, затем нажмите кнопку и добавьте CONTOSO\mdt_build в качестве пользователя, сопоставляемого с этим логином. Затем отметьте флажок для db_datareader, чтобы назначить предопределенную роль базы данных db_datareader для учетной записи CONTOSO\mdt_build (рисунок 18):

Рисунок 18: Назначение предопределенной роли базы данных db_datareader для MDT учетной записи CONTOSO\mdt_build

Поскольку члены фиксированной роли базы данных db_datareader могут читать все данные со всех пользовательских таблиц, выполнение вышеуказанной процедуры дает вашим целевым компьютерам доступ к настройкам в вашей базе данных MDT.

Не вносите никаких изменений на оставшихся двух страницах (Securables и Status) диалога Login ‘ New. Нажатие OK отображает новый логин, созданный вами (рисунок 19):

Рисунок 19: Учетной записи CONTOSO\mdt_build был предоставлен доступ с правами чтения к вашей базе данных MDT

Теперь вы можете использовать базу данных MDT для установки Windows 7 с применением всех настроек на ваших целевых компьютерах, как говорилось ранее в этом цикле.

Совет: если вам нужно предоставить доступ к базе данных MDT нескольким учетным записям, вы можете создать группу безопасности, которая будет включать эти учетные записи, а затем использовать вышеприведенную процедуру для назначения роли фиксированной базы данных db_datareader для этой группы.

Совет: для дополнительной информации относительно ролей уровня баз данных SQL Server смотрите эту страницу на MSDN.
Безопасное выполнение присоединения к домену

Давайте закончим рассмотрение проблемы с учетной записью mdt_join, которую мы указываем в файле CustomSettings.ini и которая используется MDT для присоединения целевых компьютеров к домену. Если мы оставим эту учетную запись в качестве обычного пользователя домена, MDT сможет присоединить несколько устанавливаемых им компьютеров к домену, но затем не сможет присоединить никакие другие компьютеры. Это происходит потому, что по умолчанию любая пользовательская учетная запись, которая принадлежит к встроенной идентификации Authenticated Users (например, mdt_join) имеет назначенные для нее права пользователя для присоединения рабочих станций к домену (Add Workstations To A Domain), что означает, что учетная запись способна создавать до 10 учетных записей компьютеров в домене. Итак, если вы устанавливаете всего 10 компьютеров, вам повезло. В противном случае для безопасного выполнения операции подключения к домену нужно выбрать один следующих способов:

Метод 1 — убедитесь, что ваша учетная запись mdt_join принадлежит к группе администраторов домена. Затем удалите строку DomainAdminPassword = из своего файла CustomSettings.ini file. Это означает, что ваши установки Lite Touch больше не будут полностью автоматизированными, и вам придется идти к каждой машине и вводить пароль вашей учетной записи mdt_join при выполнении этой задачи (убедитесь, что никто не смотрит вам через плечо, когда вы вводите пароль). Больше хлопот, но более безопасно.

Метод 2 — сделайте свою учетную запись mdt_join участником группы администраторов домена, не вносите никаких изменений в свой файл CustomSettings.ini, и игнорируйте тот факт, что учетные данные при присоединении к домену передаются чистым текстом по сети (и временно содержатся в измененной форме на каждом целевом компьютере во время установки). Если вы выберите такой подход, лучше выполнять установку в выходные или вечером, когда никто не работает. Для дополнительной безопасности измените пароль учетной записи mdt_join сразу после завершения установки. Не забудьте сменить пароль в Active Directory и файле CustomSettings.ini.

Метод 3 — сделайте учетную запись mdt_join участником группы администраторов домена. Опустите весь раздел присоединения к домену (четыре строки) в своем файле CustomSettings.ini. Затем в Deployment Workbench откройте свойства последовательности задач, которую вы используете, выберите закладку OS Info, и нажмите Edit Unattend.xml, чтобы открыть файл ответа, используемого MDT для установки Windows с помощью этой последовательности задач. В передаче specialize pass разверните компонент Microsoft-Windows-UnattendedJoin и настройте необходимые параметры в разделах Идентификация (Identification) и Учетные данные (Credentials), чтобы присоединить целевой компьютер к домену. Пароль, который вы укажите для учетной записи присоединения к домену здесь, будет изменен, но не зашифрован, и файл unattend.xml все равно будет записан в кэш на целевой компьютер во время установки, поэтому данный подход не слишком безопасен.

Метод 4 — уберите весь раздел присоединения к домену (четыре строки) в файле CustomSettings.ini и установите ОС на целевые системы в рабочей группе, а не в домене. Затем присоедините машины к домену, либо сделав это вручную на каждой машине (если у вас не очень много целевых компьютеров), либо выполнив сценарий netdom join с помощью групповой политики (если у вас много машин), или каким-то иным способом.

Метод 5 — предоставьте соответствующие разрешения учетной записи mdt_join для создания и обновления учетных записей в Active Directory. Этот подход позволяет вам оставлять учетную запись mdt_join в качестве учетной записи простого пользователя домена, что решает нашу проблему безопасности, но требует внимательной работы для применения. Вкратце, нужно выполнить следующие шаги:
Откройте консоль Active Directory Users and Computers.
Выберите меню Вид (View), затем перейдите к дополнительным функциям (Advanced Features).
Создайте организационное подразделение (organizational unit – например, DeployedComputers) которое будет содержать учетные записи компьютеров для новых устанавливаемых машин (в этом случае вам не придется изменять разрешения в контейнере Computers.)
Откройте свойства организационного подразделения DeployedComputers OU и выберите закладку Безопасность (Security).
Нажмите Дополнительно (Advanced), чтобы отрыть диалог дополнительных параметров безопасности (Advanced Security Settings) для OU.
Нажмите Добавить (Add) и добавьте ACE для вашей учетной записи mdt_join в ACLs для этого OU.
В диалоге записи разрешений (Permission Entry) задайте разрешения Allow (с границей установленной на значение Этот объект и все дочерние объекты (This Object And All Descendant Objects)) следующим образом: ‘ Создавать объекты компьютера (Create computer objects) ‘ Удалять объекты компьютера (Delete computer objects)
Нажмите OK, затем снова нажмите Добавить и добавьте второй ACE для вашей учетной записи mdt_join, который назначает разрешения Allow (с границей установленной на значение Все дочерние объекты компьютера (Descendant Computer Objects)) следующим образом: ‘ Чтение всех свойства (Read all properties) ‘ Запись всех свойств (Write all properties) ‘ Разрешения чтения (Read permissions) ‘ Разрешения записи (Write permissions) ‘ Смена пароля (Change password) ‘ Восстановление пароля (Reset password) ‘ Удостоверенная запись на узел с DNS-именем (Validated write to DNS host name) ‘ Удостоверенная запись на узел с именем участника службы
Несколько раз нажмите OK, чтобы закрыть все открытые диалоги.

Теперь ваша учетная запись mdt_join должна иметь возможность создания новых учетных записей компьютеров и обновления этих учетных записей при необходимости даже несмотря на то, что mdt_join не является членом группы администраторов домена. Наконец, чтобы полностью автоматизировать процесс присоединения к домену с помощью MDT, вам нужно будет добавить следующую строку в свой файл CustomSettings.ini:

MachineObjectOU=OU= DeployedComputers,DC=CONTOSO,DC=COM

И последним подходом будет своз всех клиентских компьютеров в вашу защищенную лабораторию, установка на них Windows, и последующий их развоз по офисам. Если вы решите использовать этот подход, будьте осторожны, не сорвите спину!

 

Источник: winzone.ru

Оставить комментарий

Чтобы оставлять комментарии Вы должны быть авторизованы.

Похожие посты