Tài liệu Triển khai Windows 7 – Phần 21: Bảo mật MDT (2) doc

Triển khai Windows 7 – Phần 21: Bảo mật MDT (2)

Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạn các bước

tiếp theo để bảo mật môi trường triển khai MDT.

Mẹo: Bạn có thể tìm kiếm thêm thông tin về việc tự động triển khai LTI

trong Windows 7 Resource Kit của Microsoft.

Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn các

vấn đề bảo mật có liên quan đến hai tài khoản người dùng được sử dụng bởi

MDT:

 Một tài khoản được chỉ định trong file Bootstrap.ini và được sử dụng

bởi các máy tính mục tiêu để kết nối đến deployment share trên MDT

server

 Một tài khoản được chỉ định trong file CustomSettings.ini và được sử

dụng bởi các máy tính mục tiêu để join vào miền khi hoàn tất cài đặt.

Chúng tôi đã giới thiệu sơ qua rằng trong môi trường lab đơn giản, bạn hoàn

toàn có thể sử dụng tài khoản Administrator mặc định cho miền với cả hai

mục đích này. Mặc dù vậy, với các lý do về bảo mật trong môi trường sản

xuất, chắc chắn bạn sẽ muốn sử dụng các tài khoản riêng biệt cho mỗi một

mục đích, tốt nhất là các tài khoản Domain Users thông thường thay vì các

tài khoản Domain Admins. Vì vậy những gì chúng tôi đã thực hiện trong

phần trước là tạo hai tài khoản Domain Users mới: mdt_build cho file

Bootstrap.ini và mdt_join cho file CustomSettings.ini. Sau khi thực hiện,

chúng ta đã nâng cấp deployment share của mình vì file Bootstrap.ini đã

thay đổi, tiếp đó đã burn file kết quả LiteTouchPE_x64.iso vào CD. Nếu

chúng ta khởi động các máy tính mục tiêu của mình bằng CD này thì MDT

sẽ triển khai Windows 7, tuy nhiên bất cứ tùy chỉnh nào được đưa vào cơ sở

dữ liệu MDT đều sẽ không được áp dụng và lỗi SQL Connection sẽ xuất

hiện. Vấn đề ở đây là tài khoản mới của chúng ta CONTOSO\mdt_build

không được phép truy cập cơ sở dữ liệu MDT bằng Windows Integrated

Security. Chính vì vậy trong phần này chúng tôi sẽ giới thiệu cho các bạn