Windows ServerWindows Server 2012 R2

MDT : Créer et configurer un utilisateur pour joindre les ordinateurs au domaine

Lorsque l’on utilise la solution WDS ou MDT et que nous sommes dans un environnement avec domaine, il est important de créer des rôles spécifiques à vos besoins, notamment pour des questions de sécurité et pour éviter d’utiliser le compte administrateur. Dans mon cas, j’utilise ce compte avec SCCM et MDT pour ajouter les machines au domaine.

Voici les permissions à configurer sur l’OU ou sont ajouté les nouvelles machines (Dans mon cas : ComputersDeploy).

Scope: Cet objet et tous ceux descendants

  • Créer des objects Ordinateur
  • Suppr. des objects Ordinateur

Scope: Objets Ordinateur descendants

  • Lire toutes les propriétés
  • Ecrire toutes les propriétés
  • Autorisations de lecture
  • Modifier les autorisations
  • Ecriture validée vers le nom d’hôte DNS
  • Ecriture validée vers le nom principal
  • Modifier le mot de passe
  • Réinitialiser le mot de passe

Pour commencer, créer une OU dans laquelle nous placerons les ordinateurs fraîchement déployés.

ADDS-ComputersDeploy

On peut maintenant passer à la création du compte de service : MDTJoinAccount dans mon cas (compte que j’utiliserai par la suite dans MDT).

MDTJoinAccount

MDTJoinAccountpassword

Nous allons maintenant définir les droits sur l’OU « ComputersDeploy », pour cela il est nécessaire d’activer les fonctionnalités avancées sur la console « Utilisateurs et ordinateurs Active Directory« 

ADDS-Fonctionnalites-avancees

Une fois fait, effectuer un clique droit sur l’OU « Computers Deploy » puis cliquez sur Propriétés. Cliquez ensuite sur l’onglet « Sécurité« , puis sur « Avancé« 

proprietes-computersDeploy

Ensuite, cliquez sur Ajouter puis sélectionnez le compte MDTJoinAccount

Autorisations-COmpDeploy

Vous pouvez maintenant sélectionner les autorisations qui seront octroyé au compte. Attention, dans cette première étape, veillez a ce que « Type » soit sur « Autoriser » et que « S’applique à » soit sur « cet objet et tous ceux descendants ». Comme ceci  :

Autorisations-COmpDeploy01

Ensuite, appliquer les droits suivants :

  • Créer des objects Ordinateur
  • Suppr. des objects Ordinateur

Autorisations-COmpDeploy02

Cliquez sur OK pour valider.

Cliquez encore une fois sur « Ajouter » et sélectionner le compte MDTJoinAccount en principal. Ensuite sélectionner « Objets Ordinateur descendants » dans « S’applique à :« 

MDTJoinAccountpersmissions

Ajouter les droits suivants :

  • Lire toutes les propriétés
  • Ecrire toutes les propriétés
  • Autorisations de lecture
  • Modifier les autorisations
  • Ecriture validée vers le nom d’hôte DNS
  • Ecriture validée vers le nom principal du service
  • Modifier le mot de passe
  • Réinitialiser le mot de passe

Autorisations-COmpDeploy03

La configuration du compte MDTJoinAccount est maintenant terminée, vous pouvez cliquer plusieurs fois sur OK pour valider et sauvegarder les opérations effectuées.

Mikaël GUILLERM

Administrateur Système et Autoentrepreneur depuis 2009 pour la société zerobug. Je partage mes connaissances, problèmes et solutions à travers articles ou tweets !

Articles similaires

2 commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page