MDT : Créer et configurer un utilisateur pour joindre les ordinateurs au domaine
Lorsque l’on utilise la solution WDS ou MDT et que nous sommes dans un environnement avec domaine, il est important de créer des rôles spécifiques à vos besoins, notamment pour des questions de sécurité et pour éviter d’utiliser le compte administrateur. Dans mon cas, j’utilise ce compte avec SCCM et MDT pour ajouter les machines au domaine.
Voici les permissions à configurer sur l’OU ou sont ajouté les nouvelles machines (Dans mon cas : ComputersDeploy).
Scope: Cet objet et tous ceux descendants
- Créer des objects Ordinateur
- Suppr. des objects Ordinateur
Scope: Objets Ordinateur descendants
- Lire toutes les propriétés
- Ecrire toutes les propriétés
- Autorisations de lecture
- Modifier les autorisations
- Ecriture validée vers le nom d’hôte DNS
- Ecriture validée vers le nom principal
- Modifier le mot de passe
- Réinitialiser le mot de passe
Pour commencer, créer une OU dans laquelle nous placerons les ordinateurs fraîchement déployés.
On peut maintenant passer à la création du compte de service : MDTJoinAccount dans mon cas (compte que j’utiliserai par la suite dans MDT).
Nous allons maintenant définir les droits sur l’OU « ComputersDeploy », pour cela il est nécessaire d’activer les fonctionnalités avancées sur la console « Utilisateurs et ordinateurs Active Directory«
Une fois fait, effectuer un clique droit sur l’OU « Computers Deploy » puis cliquez sur Propriétés. Cliquez ensuite sur l’onglet « Sécurité« , puis sur « Avancé«
Ensuite, cliquez sur Ajouter puis sélectionnez le compte MDTJoinAccount
Vous pouvez maintenant sélectionner les autorisations qui seront octroyé au compte. Attention, dans cette première étape, veillez a ce que « Type » soit sur « Autoriser » et que « S’applique à » soit sur « cet objet et tous ceux descendants ». Comme ceci :
Ensuite, appliquer les droits suivants :
- Créer des objects Ordinateur
- Suppr. des objects Ordinateur
Cliquez sur OK pour valider.
Cliquez encore une fois sur « Ajouter » et sélectionner le compte MDTJoinAccount en principal. Ensuite sélectionner « Objets Ordinateur descendants » dans « S’applique à :«
Ajouter les droits suivants :
- Lire toutes les propriétés
- Ecrire toutes les propriétés
- Autorisations de lecture
- Modifier les autorisations
- Ecriture validée vers le nom d’hôte DNS
- Ecriture validée vers le nom principal du service
- Modifier le mot de passe
- Réinitialiser le mot de passe
La configuration du compte MDTJoinAccount est maintenant terminée, vous pouvez cliquer plusieurs fois sur OK pour valider et sauvegarder les opérations effectuées.
(Petite coquille « Cliqeuez »)
on aurait préféré un lien vers cet article pour comprendre comment le compte MDTJoinaccount atterit dans le cs.ini de l’article suivant (https://www.tech2tech.fr/deployer-windows-avec-wds-et-mdt-2013/). A part ça, c’est limpide!!