Conta de administrador de domínio de bloqueio do MDT

1

Eu implantei o MDT para geração de imagens no meu local de trabalho. Como parte do processo de implantação, tenho o arquivo customsettings.ini definido para ingressar em nosso domínio. O técnico é solicitado a inserir suas credenciais administrativas e a UO e o Domínio apropriados já estão definidos.

Tudo funciona muito bem e as imagens da máquina funcionam corretamente, ligando-se ao domínio e instalando todo o software. No entanto, ao falar com nosso Administrador de Domínio, cada vez que visualizamos um sistema, a conta de usuário AD \ Administrador é bloqueada automaticamente. Pelo que podemos dizer, parece que a conta "Administrador" local usada em um sistema de destino para MDT está tentando fazer login localmente ou acessar recursos de rede usando a conta AD \ Administrator em vez da conta de Administrador local.

Eu entrei no arquivo unattend.xml e defini especificamente as configurações do usuário de login para usar o "." domínio, mas o problema ainda persiste. No entanto, se pularmos para ingressar no domínio e fizermos com que o sistema participe do "WORKGROUP", o problema desaparece. Verifiquei os vários arquivos de log criados pelo MDT nos sistemas de destino e não encontrei nenhuma indicação óbvia do motivo. Ocorre em todas as Sequências de Tarefas.

Alguém tem alguma sugestão?

    
por bispymusic 20.03.2013 / 21:00

1 resposta

1

Primeiro, interrompa o uso da conta AD \ Administrator. Contas compartilhadas como essa são apenas uma espécie de má idéia. Todos que precisam de acesso de administrador de domínio devem ter uma conta separada apenas para fazer as coisas do administrador de domínio. Crie uma conta de serviço apenas para o MDT. Não precisa nem ser um administrador de domínio. Tudo o que precisa fazer é juntar computadores ao domínio. Você pode configurá-lo no banco de dados customsettings.ini ou mdt.

DomainAdmin = DeploymentAccount
DomainAdminDomain = Domain.local
DomainAdminPassword = S@msFantas1cP0rkSh0p
JoinDomain = Domain.local
MachineObjectOU = ComputerDeploymentOU

Para evitar a concessão de direitos de administrador de domínio à minha conta de implantação, criei um grupo de equipe de implantação. adicionou essa conta junto com os técnicos que precisam de acesso para implantações e deu a ela acesso para adicionar / remover computadores de uma UO para implantação. Quando você vai implantar um computador, ele deve adicionar a essa OU sem problemas. Se você quisesse um pouco mais de controle, você poderia pré-criar a conta do computador também. Para fazer isso, clique com o botão direito do mouse na UO e selecione novo - > computador. Em seguida, na tela de criação de objeto do computador, altere o usuário ou grupo para sua equipe de implantação. Eu gosto de fazer isso porque me permite planejar minhas implantações um pouco melhor. Isso deve corrigir os problemas de bloqueio que você está tendo com essa conta. Se você ainda está sendo bloqueado, então é hora de ir mais fundo. Pelo menos dessa maneira, você pode ter certeza de que sua implantação não é a causa.

    
por 22.03.2013 / 14:34