Exporter (0) Imprimer
Développer tout

Autorisations requises

Mis à jour: mai 2008

S'applique à: Windows Server 2008, Windows Server 2008 R2

Ce chapitre décrit les autorisations suivantes et explique comment, le cas échéant, les accorder.

Pour administrer complètement un serveur des services de déploiement Windows, vous avez besoin des autorisations suivantes :

  • Administrateur local du serveur des services de déploiement Windows. Cette autorisation vous donne les droits suivants :

    • Autorisations et autorisations de fichier sur le dossier RemoteInstall (les outils de gestion interagissent avec le magasin d’images à l’aide des chemins d’accès UNC).

    • Autorisations de ruche de registre. Plusieurs paramètres du serveur des services de déploiement Windows sont stockés dans HKEY_LOCAL_MACHINE\System, vous avez besoin des autorisations appropriées vers ces emplacements pour les modifier.

  • Administrateur de domaine du domaine qui contient le serveur des services de déploiement Windows. Cette autorisation vous donne accès au point de contrôle du service (SCP) dans les services de domaine AD DS (Active Directory Domain Services) pour le serveur des services de déploiement Windows. Certains paramètres de configuration pour le serveur sont stockés à cet emplacement.

  • Administrateur d’entreprise (facultatif). Fournit des autorisations DHCP (Dynamic Host Configuration Protocol). Si l’autorisation DHCP est activée, le serveur des services de déploiement Windows doit être autorisé dans les services de domaine AD DS avant d’être autorisé à répondre à des demandes PXE entrantes de client. L’autorisation DHCP est stockée dans le conteneur Configuration dans les services de domaine AD DS.

Il est généralement pratique de déléguer la gestion d’un serveur des services de déploiement Windows à un compte différent de l’administrateur de domaine ou de l’administrateur d’entreprise (et d’octroyer ces autorisations générales au compte délégué). Le compte d’administrateur délégué doit être un administrateur local et de domaine comme indiqué précédemment.

Le tableau suivant contient des tâches courantes et les autorisations nécessaires correspondantes.

 

Tâche Autorisations nécessaires

Ajouter ou supprimer un groupe d’images

Contrôle complet sur C:RemoteInstall\Images\ImageGroup.

Ajouter ou supprimer une image

Contrôle complet sur C:RemoteInstall\Images\ImageGroup.

Désactiver une image

Autorisation de lire et d’écrire des attributs pour le fichier d’image associé. La désactivation d’une image signifie masquer le fichier d’image Windows (.wim) associé à l’image.

Ajouter une image de démarrage

Accès en lecture et en écriture aux informations suivantes :

  • C:RemoteInstall\Boot

  • C:RemoteInstall\Admin (Ce dossier n’est présent que si vous mettez à niveau depuis Windows Server 2003).

  • %TEMP%

Supprimer une image de démarrage

Accès en lecture et écriture à C:RemoteInstall\Boot.

Définir des propriétés sur une image

Autorisations en lecture et en écriture au fichier de métadonnées .wim qui représente l’image. Ce fichier est situé dans le groupe d’images dans : C:RemoteInstall\Images\ImageGroup.

Prédéfinir un ordinateur

Autorisations pour créer des comptes dans le domaine ainsi que d’écrire dans les propriétés d’un objet d’ordinateur.

  1. Ouvrez Utilisateurs et ordinateursActive Directory.

  2. Cliquez avec le bouton droit sur l’unité d’organisation où vous créez les comptes d’ordinateur prédéfinis, puis sélectionnez Délégation de contrôle.

  3. Dans le premier écran de l’Assistant, cliquez sur Suivant.

  4. Ajoutez l’utilisateur ou le groupe auquel vous souhaitez déléguer le contrôle, puis cliquez sur Suivant.

  5. Sélectionnez Créer une tâche personnalisée à déléguer.

  6. Sélectionnez Seulement des objets suivants dans le dossier.

    1. Activez la case à cocher Objets ordinateur.

    2. Sélectionnez Créer les objets sélectionnés dans ce dossier.

    3. Cliquez sur Suivant.

  7. Dans la zone Autorisations, activez la case à cocher Écrire toutes les propriétés.

  8. Cliquez sur Terminer.

Approuver un ordinateur en attente

Autorisations en lecture et en écriture pour le dossier qui contient le fichier de base de données Binlsvcdb.mdb dans le partage RemoteInstall (par exemple, C:RemoteInstall\MGMT). Le compte réel d’un ordinateur en attente d’approbation est créé à l’aide du jeton d’authentification du serveur, pas le jeton de l’administrateur chargé de l’approbation. Par conséquent, dans les services de domaine AD DS, vous devez octroyer les droits au compte (WDSSERVER$) du serveur des services de déploiement Windows pour créer des objets compte d’ordinateur destinés aux conteneurs et unités d’organisation où sont créés les ordinateurs en attente d’approbation.

  1. Ouvrez Utilisateurs et ordinateursActive Directory.

  2. Cliquez avec le bouton droit sur l’unité d’organisation où vous créez les comptes d’ordinateur prédéfinis, puis sélectionnez Délégation de contrôle.

  3. Dans le premier écran de l’Assistant, cliquez sur Suivant.

  4. Modifiez le type d’objet pour inclure Ordinateurs.

  5. Ajoutez l’objet ordinateur du serveur des services de déploiement Windows, puis cliquez sur Suivant.

  6. Sélectionnez Créer une tâche personnalisée à déléguer.

  7. Sélectionnez Seulement des objets suivants dans le dossier.

    1. Activez la case à cocher Objets ordinateur.

    2. Sélectionnez Créer les objets sélectionnés dans ce dossier.

    3. Cliquez sur Suivant.

  8. Dans la zone Autorisations, activez la case à cocher Écrire toutes les propriétés.

  9. Cliquez sur Terminer.

Prédéfinir un ordinateur pour joindre un domaine

Le compte d’utilisateur doit avoir les autorisations pour joindre le domaine. Le paramètre JoinRights détermine l’ensemble des privilèges de sécurité, et la propriété d’utilisateur détermine quels utilisateurs sont autorisés à se joindre au domaine.

Le paramètre JoinRights possède deux valeurs :

  • Jointure uniquement. Un utilisateur qui possède les droits Jointure uniquement ne peut pas joindre le domaine sans assistance de l’administrateur (un administrateur qui possède les autorisations correctes sur l’objet du compte d’ordinateur doit réinitialiser le compte d’ordinateur avant l’installation du client et l’adhésion au domaine).

  • Complet. Un utilisateur qui possède les droits Complet peut réinitialiser le compte et joindre le domaine sans assistance de l’administrateur.

Pour la propriété utilisateur, vous disposez de deux modèles d’administration.

  • (recommandé) Vous pouvez associer un utilisateur principal au compte au moment de l’approbation de l’ordinateur. Lorsque l’ordinateur est approuvé, le compte d’ordinateur accorde à l’utilisateur principal les droits suivants :

    • Lecture et écriture sur toutes les propriétés de l’objet ordinateur (JoinRights = JoinOnly ou JoinRights = Complet)

    • Réinitialiser et modifier les droits du mot de passe sur l’objet ordinateur (JoinRights = Complet)

  • Vous pouvez spécifier les paramètres par défaut du serveur pour l’utilisateur et JoinRights qui s’appliquent à tous les clients approuvés d’une architecture donnée. Les valeurs par défaut octroient aux administrateurs de domaine le droit d’adhésion Complet. Si vous n’affectez pas un utilisateur principal au compte d’ordinateur au moment de l’approbation, ces valeurs par défaut prendront effet.

    noteRemarque
    Si vous créez des comptes d’ordinateur sur un contrôleur de domaine qui n’est pas en anglais et que vous utilisez la propriété d’utilisateur par défaut, vous devez définir les paramètres d’ajout automatique pour utiliser un autre compte qui ne contient pas de caractères étendus. Par exemple, XXXX. Pour modifier cette valeur, consultez l’aide à l’invite de commandes pour WDSUTIL /set-server /AutoAddSettings.

Les propriétés de l’utilisateur principal et JoinRights sont définies au moment de la création du compte d’ordinateur. Par conséquent, vous avez besoin des mêmes droits pour créer des objets ordinateur que pour approuver des ordinateurs en attente. Pour modifier les paramètres par défaut par serveur (par architecture), vous avez besoin d’autorisations en lecture et en écriture sur les clés de registre suivantes :

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<arch>

    Nom : JoinRights

    Tapez la commande : DWORD

    Valeur : 0 = JoinOnly; 1 = Full

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<arch>

    Nom : User

    Tapez la commande : REG_SZ

    Valeur : Nom du groupe ou utilisateur

Convertir une image RIPREP

  • Autorisations en écriture et en lecture sur l’emplacement de destination et le répertoire %TEMP%

  • Autorisations en lecture sur l’image RIPREP d’origine

Créer une image de découverte ou de capture

  • Autorisation en écriture et en lecture sur l’emplacement de destination et le répertoire %TEMP%

  • Autorisations en lecture sur l’image de démarrage d’origine

Créer une transmission par multidiffusion

  • Contrôle complet sur la clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

  • Autorisations en lecture sur RemoteInstall\Images\ImageGroup.

Modifier une transmission par multidiffusion (par exemple, supprimer, désactiver, démarrer, arrêter, déconnecter etc)

Contrôle complet sur la clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

En général, une installation de client nécessite des droits d’utilisateur de domaine. Cependant, des autorisations supplémentaires sont peut-être nécessaires selon le scénario. Cette section décrit le jeu minimal des autorisations nécessaires pour effectuer des tâches courantes d’installation.

 

Tâche Autorisations nécessaires

Démarrage PXE d’un ordinateur client

Le démarrage PXE d’un ordinateur client ne nécessite aucune autorisation et aucun mécanisme ne permet de sécuriser le processus de démarrage sur le réseau. Si la sécurité est votre préoccupation première, nous vous recommandons d’utiliser le support physique (qui contient par exemple une image de découverte) pour démarrer chaque ordinateur.

Sélectionner une image de démarrage

Le démarrage PXE d’un ordinateur client ne nécessite aucune autorisation et aucun mécanisme ne permet de sécuriser les entrées qui s’affichent dans la liste. Le premier mécanisme d’authentification se produit à l’aide du client des services de déploiement Windows qui s’exécute dans Windows PE.

Sélectionner une image d’installation

Les informations d’identification fournies dans l’interface utilisateur du client des services de déploiement Windows doivent être celles d’un compte de domaine. Après l’authentification d’un client auprès du serveur des services de déploiement Windows, l’utilisateur authentifié doit pouvoir lire les fichiers .wim et Res.rwm d’installation dans le dossier RemoteInstall. Par défaut, les utilisateurs authentifiés sont autorisés à le faire.

Jonction d’un domaine

Le compte d’utilisateur doit avoir les autorisations pour joindre le domaine. Le paramètre JoinRights détermine l’ensemble des privilèges de sécurité, et la propriété d’utilisateur détermine quels utilisateurs sont autorisés à se joindre au domaine.

Le paramètre JoinRights possède deux valeurs :

  • Jointure uniquement. Un utilisateur qui possède les droits Jointure uniquement ne peut pas joindre le domaine sans assistance de l’administrateur (un administrateur qui possède les autorisations correctes sur l’objet du compte d’ordinateur doit réinitialiser le compte d’ordinateur avant l’installation du client et l’adhésion au domaine).

  • Complet. Un utilisateur qui possède les droits Complet peut réinitialiser le compte et joindre le domaine sans assistance de l’administrateur.

Pour la propriété utilisateur, vous disposez de deux modèles d’administration.

  • (recommandé) Vous pouvez associer un utilisateur principal au compte au moment de l’approbation de l’ordinateur. Lorsque l’ordinateur est approuvé, le compte d’ordinateur accorde à l’utilisateur principal les droits suivants :

    • Lecture et écriture sur toutes les propriétés de l’objet ordinateur (JoinRights = JoinOnly ou JoinRights = Complet)

    • Réinitialiser et modifier les droits du mot de passe sur l’objet ordinateur (JoinRights = Complet)

  • Vous pouvez spécifier les paramètres par défaut du serveur pour l’utilisateur et JoinRights qui s’appliquent à tous les clients approuvés d’une architecture donnée. Les valeurs par défaut octroient aux administrateurs de domaine le droit d’adhésion Complet. Si vous n’affectez pas un utilisateur principal au compte d’ordinateur au moment de l’approbation, ces valeurs par défaut prendront effet.

Si l’ordinateur est prédéfini (autrement dit si un compte d’ordinateur qui représente l’ordinateur client physique existe déjà dans les services de domaine Active Directory), l’utilisateur qui effectue l’installation (ou les informations d’identification dans le fichier d’installation sans assistance de l’adhésion au domaine) nécessite les droits appropriés JoinDomain (comme indiqué précédemment).

Si l’ordinateur n’est pas prédéfini (c’est à dire que les services de déploiement Windows vont créer un compte d’ordinateur dans les services de domaine Active Directory), l’utilisateur qui effectue l’installation (ou les informations d’identification spécifiées dans le fichier d’installation sans assistance pour l’adhésion au domaine) nécessite les droits pour ajouter un ordinateur prédéfini et les droits JoinRights appropriés.

Utilisation de /ResetBootProgram

Si la fonctionnalité ResetBootProgram est activée, l’utilisateur nécessite les autorisations en lecture et en écriture sur la propriété netbootMachineFilePath de l’objet d’ordinateur prédéfini. Si cette autorisation n’est pas accordée et que le programme de démarrage de l’utilisateur est défini à pxeboot.n12, les services de déploiement Windows ne pourront pas réinitialiser NBP sur pxeboot.com ce qui entraîne l’ordinateur dans une boucle de démarrage infinie. Pour plus d’informations, voir Gestion des programmes de démarrage réseau.

Désactivation de l’accès à l’invite de commandes au cours des installations

Par défaut, les utilisateurs peuvent obtenir l’accès à une invite de commande au cours des installations des services de déploiement Windows :

  • En appuyant sur Maj+F10 lorsque le programme d’installation s’exécute dans Windows PE.

  • En appuyant sur Maj+F10 lorsque l’Assistant Capture d’images s’exécute dans Windows PE.

  • En maintenant enfoncée la touche CTRL au cours du démarrage de Microsoft Windows PE (Windows Preinstallation Environment).

  • En appuyant sur Maj+F10 lorsque le programme OOBE (Out of Box Experience) s’exécute (OOBE est l’Assistant qui s’exécute généralement après le programme d’installation).

    ImportantImportant
    Une fenêtre d’invite de commandes ouverte au cours du programme OOBE s’exécute dans le contexte système. Si cette fenêtre n’est pas fermée au terme du programme d’installation, l’utilisateur peut y accéder et par conséquent aux droits système même si l’utilisateur n’est pas un administrateur local sur l’ordinateur client.

Vous pouvez désactiver cette fonctionnalité en ajoutant DisableCmdRequest.tag à l’image.

  1. Dans le composant logiciel enfichable MMC Services de déploiement Windows, cliquez avec le bouton droit sur l’image de démarrage souhaitée et sélectionnez Désactiver.

  2. Montez l’image pour un accès en lecture et en écriture à l’aide des outils fournis dans le Kit d’installation automatisée (Windows AIK).

  3. Créez le fichier %windir%\Setup\Scripts\DisableCmdRequest.tag dans l’image montée.

  4. Procédez aux modifications et au démontage de l’image.

  5. Dans le composant logiciel enfichable MMC Services de déploiement Windows, cliquez avec le bouton droit sur l’image de démarrage souhaitée et sélectionnez Activer.

  1. Dans le composant logiciel enfichable MMC Services de déploiement Windows, cliquez avec le bouton droit sur l’image de démarrage souhaitée et sélectionnez Désactiver.

  2. Exportez l’image vers un fichier externe .wim.

  3. Montez l’image pour un accès en lecture et en écriture à l’aide des outils fournis dans le Kit d’installation automatisée (Windows AIK).

  4. Créez le fichier %windir%\Setup\Scripts\DisableCmdRequest.tag dans l’image montée.

  5. Procédez aux modifications et au démontage de l’image.

  6. Dans le composant logiciel enfichable MMC Services de déploiement Windows, cliquez avec le bouton droit sur l’image d’installation désactivée et sélectionnez Remplacer l’image.

  7. Suivez les instructions dans l’Assistant pour réimporter l’image d’installation modifiée.

La section ci-dessous décrit le jeu minimal des autorisations nécessaires pour effectuer des tâches courantes de gestion à l’aide des pages de propriétés de serveur. Pour accéder aux paramètres, ouvrez le composant logiciel enfichable MMC Services de déploiement Windows, cliquez avec le bouton droit sur le serveur et cliquez sur Propriétés.

 

Onglet Paramètres qui nécessitent des autorisations

Paramètres de réponse PXE

  • Stratégie de réponse PXE . La stratégie de réponse PXE est stockée dans le protocole SCP (Simple Control Protocol) du serveur. Configurer ces paramètres nécessitent des autorisations en lecture et en écriture sur cet objet.

    1. Ouvrez Utilisateurs et ordinateursActive Directory.

    2. Cliquez sur Affichage, puis sur Fonctionnalités avancées(s’il n’est pas déjà activé).

    3. Cliquez avec le bouton droit sur le compte d’ordinateur de votre serveur des services de déploiement Windows, puis cliquez sur Propriétés.

    4. Sous l’onglet Installation à distance, sélectionnez Paramètres avancés…

    5. Sélectionnez l’onglet Sécurité, cliquez sur Ajouter.

    6. Sélectionnez l’utilisateur puis Contrôle total sur cet objet.

  • Délai de réponse PXE . Le délai de réponse PXE est stocké dans le protocole SCP du serveur. Pour configurer le délai de la réponse PXE d’un serveur, vous devez pouvoir lire et écrire dans l’objet suivant :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE\Providers\BINLSVC

    • Nom : netbootAnswerRequests

    • Tapez la commande : REG_SZ

    • Valeur : False = ne pas répondre aux demandes du client ; True = répondre aux demandes du client

Services d’annuaire

  • Nouvelle stratégie de noms de clients . Ce paramètre est stocké dans l’objet SCP sur le serveur. La propriété s’appelle : netbootNewMachineNamingPolicy

  • Emplacement de compte client . Ce paramètre est stocké dans l’objet SCP sur le serveur. La propriété s’appelle : netbootNewMachineOU

Démarrage

Programme de démarrage par défaut

  • À l’échelle du serveur : Cette option est contrôlée par la clé de registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootPrograms\<arch>

    • Nom : Valeur par défaut

    • Tapez la commande : REG_SZ

    • Valeur : Chemin d’accès au programme de démarrage par défaut du client au niveau du serveur pour cette architecture. Par exemple : boot\x86\pxeboot.com

  • Par ordinateur : L’attribut du compte d’ordinateur est : netbootMachineFilePath

Image de démarrage par défaut

  • À l’échelle du serveur : Cette option est contrôlée par la clé de registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootImages\<arch>

    • Nom : BootImagePath

    • Tapez la commande : REG_SZ

    • Valeur : Chemin d’accès à l’image de démarrage par défaut du client au niveau du serveur pour cette architecture. Par exemple : boot\x86\images\boot.wim

  • Par ordinateur : L’attribut du compte d’ordinateur est : netbootMirrorDataFile

Client

Fichier d’installation sans assistance

  • À l’échelle du serveur : Cette option est contrôlée par la clé de registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WdsImgSrv\Unattend\x86

    • Nom : FilePath

    • Tapez la commande : REG_SZ

    • Valeur : Chemin d’accès au fichier d’installation sans assistance du client au niveau du serveur relatif au dossier RemoteInstall. Par exemple : WdsClientUnattend\WdsUnattend.xml

  • Par ordinateur : L’attribut du compte d’ordinateur est netbootMirrorDataFile

Création de compte client

  • Cette option est contrôlée par la clé de registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    • Nom : NewMachineDomainJoin

    • Tapez la commande : DWORD

    • Valeur : 0 pour empêcher les clients de joindre le domaine ; 1 pour l’activer.

DHCP

  • Ne pas écouter sur le port 67 . Cette option est contrôlée par la clé de registre suivante :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE

    • Nom : UseDhcpPorts

    • Tapez la commande : DWORD

    • Valeur : 0 désactivé ; 1 activé

  • Configurer l’option DHCP 60 sur « PXEClient ».L’utilisateur doit pouvoir configurer le serveur Microsoft DHCP qui s’exécute sur l’ordinateur local.

Avancé

  • DC/GC utilisé par le serveur des services de déploiement Windows (ce serveur). Ces paramètres sont stockés à l’emplacement du registre suivant :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    Les clés relatives à ces paramètres sont les suivantes :

    Contrôleur de domaine par défaut

    • Nom : DefaultServer

    • Tapez la commande : REG_SZ

    • Valeur : Nom de domaine complet pour le contrôleur de domaine par défaut

    Serveur de catalogue global par défaut

    • Nom : DefaultGCServer

    • Tapez la commande : REG_SZ

    • Valeur : Nom de domaine complet pour le serveur de catalogue global par défaut

  • Autorisation DHCP. Effectué à l’aide des API DHCP (nécessite des autorisations sur le serveur Microsoft DHCP).

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft