Exporteren (0) Afdrukken
Alles uitvouwen

Vereiste machtigingen

Bijgewerkt: mei 2008

Van toepassing op: Windows Server 2008, Windows Server 2008 R2

In dit hoofdstuk worden de volgende machtigingen beschreven en wordt, waar van toepassing, aangegeven hoe u deze kunt toewijzen.

In dit onderwerp

Algemene machtigingen

Als u de Windows Deployment Services-server volledig wilt beheren, moet u de volgende machtigingen hebben:

  • Lokale administrator voor de Windows Deployment Services-server. Hiermee beschikt u over de volgende rechten:

    • Bestandsmachtigingen en machtigingen voor de map RemoteInstall (bij de beheerprogramma's voor de opslag van installatiekopieën worden UNC-paden gebruikt).

    • Machtigingen voor registercomponenten. Veel instellingen voor de Windows Deployment Services-server worden opgeslagen in HKEY_LOCAL_MACHINE\System en u hebt de juiste machtigingen voor deze locaties nodig als u deze instellingen wilt wijzigen.

  • Domeinadministrator voor het domein dat de Windows Deployment Services-server bevat. Hiermee hebt u machtigingen voor het SCP-object (Service Control Point) in AD DS (Active Directory Domain Services) voor de Windows Deployment Services-server. Hier worden bepaalde configuratie-instellingen voor de server opgeslagen.

  • Ondernemingsadministrators (optioneel). Hiermee hebt u de machtigingen voor DHCP-autorisatie (Dynamic Host Configuration Protocol). Als DHCP-autorisatie is ingeschakeld, moet u de Windows Deployment Services-server eerst in AD DS autoriseren voordat deze binnenkomende PXE-aanvragen van clients mag beantwoorden. De instelling voor DHCP-autorisatie wordt opgeslagen in de container Configuratie in AD DS.

Vaak is het handig het beheer van een Windows Deployment Services-server over te dragen naar een andere account dan die van de domeinadministrator of ondernemingsadministrator (en deze algemene machtigingen toe te wijzen aan de overgedragen account). De gedelegeerde administratoraccount moet de machtigingen van een lokale administrator en een domeinadministrator hebben, zoals hiervoor wordt aangegeven.

Machtigingen voor gangbare beheertaken

Hier volgt een tabel met de gangbare taken en de bijbehorende vereiste machtigingen.

 

Taak Benodigde machtigingen

Een installatiekopiegroep toevoegen of verwijderen

Volledig beheer voor C:RemoteInstall\Images\Installatiekopiegroep.

Een installatiekopie toevoegen of verwijderen

Volledig beheer voor C:RemoteInstall\Images\Installatiekopiegroep.

Een installatiekopie uitschakelen

Lees- en schrijfmachtiging voor de kenmerken van het bijbehorende installatiekopiebestand. Wanneer u een installatiekopie uitschakelt, wordt het Windows-installatiekopiebestand (WIM) dat aan de installatiekopie is gekoppeld, verborgen.

Een opstartinstallatiekopie toevoegen

Lees- en schrijftoegang tot het volgende:

  • C:RemoteInstall\Boot

  • C:RemoteInstall\Admin (Deze map is alleen aanwezig als u een upgrade uitvoert voor Windows Server 2003.)

  • %TEMP%

Een opstartinstallatiekopie verwijderen

Lees- en schrijftoegang tot C:RemoteInstall\Boot.

Instellingen voor een installatiekopie instellen

Lees- en schrijfmachtigingen voor het WIM-bestand met metagegevens voor de installatiekopie. Dit bestand bevindt zich in de installatiekopiegroep onder: C:RemoteInstall\Images\Installatiekopiegroep.

Installatie van een computer voorbereiden

Machtigingen om accounts in het domein te maken en machtigingen om te schrijven naar de eigenschappen van een computerobject.

Machtigingen voor het voorbereiden van een computerinstallatie toewijzen
  1. Open Active Directorygebruikers en computers.

  2. Klik met de rechtermuisknop op de organisatie-eenheid waar u de voor installatie voorbereide computeraccounts wilt maken en selecteer vervolgens Beheer overdragen.

  3. Klik op het eerste scherm van de wizard op Volgende.

  4. Voeg de gebruiker of groep toe waaraan u het beheer wilt overdragen en klik vervolgens op Volgende.

  5. Selecteer Een aangepaste taak maken en overdragen.

  6. Selecteer Alleen de volgende objecten in deze map.

    1. Schakel het selectievakje Computerobjecten in.

    2. Selecteer Geselecteerde objecten in deze map maken.

    3. Klik op Volgende.

  7. Schakel het selectievakje Alle eigenschappen schrijven in in het vak Machtigingen.

  8. Klik op Voltooien.

Een computer in behandeling goedkeuren

Lees- en schrijfmachtigingen voor de map met het databasebestand Binlsvcdb.mdb in de share RemoteInstall (bijvoorbeeld C:RemoteInstall\MGMT). De eigenlijke account van een goedgekeurde computer in behandeling wordt gemaakt met behulp van het verificatietoken van de server, niet het token van administrator die de goedkeuring verzorgt. In AD DS moet u daarom rechten toewijzen aan de account van de Windows Deployment Services-server (WDSSERVER$) om computeraccountobjecten te maken voor de containers en de organisatie-eenheden waar de goedgekeurde computers in behandeling worden gemaakt.

Machtigingen voor het goedkeuren van een computer in behandeling toewijzen
  1. Open Active Directorygebruikers en computers.

  2. Klik met de rechtermuisknop op de organisatie-eenheid waar u de voor installatie voorbereide computeraccounts wilt maken en selecteer Beheer overdragen.

  3. Klik op het eerste scherm van de wizard op Volgende.

  4. Voeg Computers toe aan Objecttype.

  5. Voeg het computerobject van de Windows Deployment Services-server toe en klik vervolgens op Volgende.

  6. Selecteer Een aangepaste taak maken en overdragen.

  7. Selecteer Alleen de volgende objecten in deze map.

    1. Schakel het selectievakje Computerobjecten in.

    2. Selecteer Geselecteerde objecten in deze map maken.

    3. Klik op Volgende.

  8. Schakel het selectievakje Alle eigenschappen schrijven in in het vak Machtigingen.

  9. Klik op Voltooien.

Een computer voorbereiden voor installatie in een domein

De gebruikersaccount moet over de juiste machtigingen beschikken om de computer aan het domein toe te voegen. De instelling JoinRights bepaalt welke beveiligingsbevoegdheden worden toegewezen en de gebruikerseigenschap bepaalt welke gebruikers lid mogen worden van het domein.

De instelling JoinRights heeft twee waarden:

  • JoinOnly. Een gebruiker met de rechten JoinOnly kan zonder hulp van de administrator geen lid worden van het domein (een administrator met de juiste machtigingen voor het computeraccountobject moet de computeraccount op de beginwaarden instellen voordat de client wordt geïnstalleerd en de computer aan het domein wordt toegevoegd).

  • Full. Een gebruiker met de rechten Full kan de account op de beginwaarden instellen en zonder hulp van een administrator lid worden van het domein.

Voor de gebruikerseigenschap kunt u twee beheermodellen gebruiken.

  • (Aanbevolen) U kunt een primaire gebruiker koppelen aan de account wanneer de computer wordt goedgekeurd. Wanneer de computer wordt goedgekeurd, worden op basis van de computeraccount de volgende rechten aan de primaire gebruiker toegewezen:

    • Lezen en Alle eigenschappen schrijven voor het computerobject (JoinRights = JoinOnly of JoinRights = Full)

    • Wachtwoordrechten voor het computerobject instellen op de beginwaarden en wijzigen (JoinRights = Full)

  • U kunt serverstandaardinstellingen voor de gebruiker en de instelling JoinRights opgeven voor alle goedgekeurde clients met een bepaalde architectuur. Op basis van de standaardwaarden wordt aan domeinadministrators het toevoegingsrecht Full toegewezen. Als u ten tijde van de goedkeuring geen primaire gebruiker aan de computeraccount wilt toevoegen, gelden deze standaardwaarden.

    noteNote
    Als u computeraccounts wilt maken voor een niet-Engelstalige domeincontroller en u de standaardgebruikerseigenschap gebruikt, moet u de instellingen voor automatisch toevoegen gebruiken als u een andere account wilt gebruiken waarvan de naam geen uitgebreide tekens bevat. Voorbeeld: XXXX. Als u deze waarde wilt wijzigen, raadpleegt u de Help bij de opdrachtprompt voor WDSUTIL /set-server /AutoAddSettings.

De primaire gebruiker en de eigenschappen JoinRights worden ingesteld wanneer de computeraccount wordt gemaakt. Voor het maken van computerobjecten moet u daarom dezelfde rechten hebben als voor het goedkeuren van computers in behandeling. Als u de instellingen per server (per architectuur) wilt wijzigen, moet u lees- en schrijfmachtigingen hebben voor de volgende registersleutels:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<Arch>

    Naam: JoinRights

    Type: DWORD

    Waarde: 0 = JoinOnly; 1 = Full

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<Arch>

    Naam: User

    Type: REG_SZ

    Waarde: naam van groep of gebruiker

RIPREP-installatiekopie converteren

  • Lees- en schrijfmachtigingen voor de map %TEMP% en de bestemmingslocatie

  • Leesmachtigingen voor de oorspronkelijke RIPREP-installatiekopie

Een detectie- of vastleggingskopie maken

  • Lees- en schrijfmachtigingen voor de map %TEMP% en de bestemmingslocatie

  • Leesmachtigingen voor de oorspronkelijke opstartinstallatiekopie

Een multicast-overdracht maken

  • Volledig beheer voor de volgende registersleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

  • Leesmachtigingen voor RemoteInstall\Images\Installatiekopiegroep.

Een multicast-overdracht wijzigen (bijvoorbeeld verwijderen, deactiveren, starten, stoppen, verbinding verbreken, enzovoort)

Volledig beheer voor de volgende registersleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

Machtigingen voor clientinstallaties

In het algemeen hebt u domeingebruikersrechten nodig om een clientinstallatie te kunnen uitvoeren. Afhankelijk van het scenario is het echter mogelijk dat u aanvullende machtigingen moet hebben. In dit gedeelte worden de minimale machtigingen beschreven die zijn vereist om gangbare installatietaken uit te voeren.

 

Taak Benodigde machtigingen

Een clientcomputer opstarten via PXE

Om een client via PXE op te starten zijn geen machtigingen vereist en er is geen mechanisme voorhanden om het opstarten via het netwerk te beveiligen. Als de veiligheid voor u van het hoogste belang is, is het raadzaam fysieke media (bijvoorbeeld een schijf met een opsporingsinstallatiekopie) te gebruiken om elke computer op te starten.

Een opstartinstallatiekopie selecteren

Voor het selecteren van een opstartinstallatiekopie zijn geen machtigingen vereist en er is geen mechanisme voorhanden om de vermeldingen in de lijst te beveiligen. Het eerste verificatiemechanisme treedt op bij gebruik van de Windows Deployment Services-client die via Windows PE wordt uitgevoerd.

Een installatiekopie selecteren

In de gebruikersinterface van de Windows Deployment Services-client moet u de referenties van een domeinaccount opgeven. Als een client is geverifieerd voor de Windows Deployment Services-server, moet de geverifieerde gebruiker in staat zijn om het WIM-bestand en het bestand Res.rwm voor de installatie te lezen uit de map RemoteInstall. Standaard hebben geverifieerde gebruikers hiervoor de juiste machtigingen.

De computer toevoegen aan een domein

De gebruikersaccount moet over de juiste machtigingen beschikken om de computer aan het domein toe te voegen. De instelling JoinRights bepaalt welke beveiligingsbevoegdheden worden toegewezen en de gebruikerseigenschap bepaalt welke gebruikers lid mogen worden van het domein.

De instelling JoinRights heeft twee waarden:

  • JoinOnly. Een gebruiker met de rechten JoinOnly kan zonder hulp van de administrator geen lid worden van het domein (een administrator met de juiste machtigingen voor het computeraccountobject moet de computeraccount op de beginwaarden instellen voordat de client wordt geïnstalleerd en de computer aan het domein wordt toegevoegd).

  • Full. Een gebruiker met de rechten Full kan de account op de beginwaarden instellen en zonder hulp van een administrator lid worden van het domein.

Voor de gebruikerseigenschap kunt u twee beheermodellen gebruiken.

  • (Aanbevolen) U kunt een primaire gebruiker koppelen aan de account wanneer de computer wordt goedgekeurd. Wanneer de computer wordt goedgekeurd, worden op basis van de computeraccount de volgende rechten aan de primaire gebruiker toegewezen:

    • Lezen en Alle eigenschappen schrijven voor het computerobject (JoinRights = JoinOnly of JoinRights = Full)

    • Wachtwoordrechten voor het computerobject instellen op de beginwaarden en wijzigen (JoinRights = Full)

  • U kunt serverstandaardinstellingen voor de gebruiker en de instelling JoinRights opgeven voor alle goedgekeurde clients met een bepaalde architectuur. Op basis van de standaardwaarden wordt aan domeinadministrators het toevoegingsrecht Full toegewezen. Als u ten tijde van de goedkeuring geen primaire gebruiker aan de computeraccount wilt toevoegen, gelden deze standaardwaarden.

Als de computer is voorbereid voor installatie (dat wil zeggen: er is een computeraccount voor de fysieke clientcomputer aanwezig in AD DS), moet de gebruiker die de installatie uitvoert (of de referenties in het bestand voor installatie zonder toezicht voor het toevoegen van de computer aan het domein) over de juiste rechten JoinDomain beschikken (zie eerder).

Als de computer niet is voorbereid voor installatie (Windows Deployment Services zorgt ervoor dat een computeraccount wordt gemaakt in AD DS), moet de gebruiker die de installatie uitvoert (of de referenties in het bestand voor installatie zonder toezicht voor het toevoegen van de computer aan het domein) beschikken over de juiste rechten om een voor installatie voorbereide computer toe te voegen en over de juiste JoinRights.

/ResetBootProgram gebruiken

Als de functie ResetBootProgram is ingeschakeld, moet de gebruiker lees- en schrijfmachtigingen hebben voor de eigenschap netbootMachineFilePath voor het voor installatie voorbereide computerobject. Als deze machtiging niet is verleend en het opstartprogramma van de gebruiker niet is ingesteld op pxeboot.n12, kan Windows Deployment Services het netwerkopstartprogramma niet instellen op pxeboot.com, waardoor de computer in een oneindige opstartlus terechtkomt. Zie Managing Network Boot Programs voor meer informatie.

Toegang tot de opdrachtprompt uitschakelen tijdens installaties

Standaard kunnen gebruikers tijdens installaties via Windows Deployment Services de opdrachtprompt op de volgende manieren openen:

  • Door op Shift+F10 te drukken wanneer Setup wordt uitgevoerd in Windows PE.

  • Door op Shift+F10 te drukken wanneer de Wizard Installatiekopie maken wordt uitgevoerd in Windows PE.

  • Door CTRL ingedrukt te houden wanneer de computer wordt opgestart met Windows PE (Microsoft Windows Preinstallation Environment).

  • Door op Shift+F10 te drukken wanneer OOBE (Out of Box Experience) wordt uitgevoerd (OOBE is de wizard die gewoonlijk na Setup wordt uitgevoerd).

    ImportantImportant
    Een opdrachtvenster dat tijdens OOBE wordt geopend, wordt uitgevoerd in de systeemcontext. Als dit venster aan het eind van Setup niet wordt gesloten, is het mogelijk dat de gebruiker toegang tot het venster heeft en systeemrechten heeft, zelfs als de gebruiker geen lokale beheerder is op de clientcomputer.

U kunt deze functionaliteit uitschakelen door het bestand DisableCmdRequest.tag aan de installatiekopie toe te voegen.

Toegang voor opstartinstallatiekopieën uitschakelen
  1. Als u de module Windows Deployment Services gebruikt, klikt u met de rechtermuisknop op de gewenste opstartinstallatiekopie en kiest u Uitschakelen.

  2. Koppel de installatiekopie voor lees- en schrijftoegang met de hulpmiddelen in de Windows AIK (Windows Automated Installation Kit).

  3. Maak het bestand %windir%\Setup\Scripts\DisableCmdRequest.tag op de gekoppelde installatiekopie.

  4. Leg de wijzigingen vast en ontkoppel de installatiekopie.

  5. Als u de module Windows Deployment Services gebruikt, klikt u met de rechtermuisknop op de gewenste opstartinstallatiekopie en kiest u Inschakelen.

Toegang voor installatiekopieën uitschakelen
  1. Als u de module Windows Deployment Services gebruikt, klikt u met de rechtermuisknop op de gewenste opstartinstallatiekopie en kiest u Uitschakelen.

  2. Exporteer de installatiekopie naar een extern WIM-bestand.

  3. Koppel de installatiekopie voor lees- en schrijftoegang met de hulpmiddelen in de Windows AIK.

  4. Maak het bestand %windir%\Setup\Scripts\DisableCmdRequest.tag op de gekoppelde installatiekopie.

  5. Leg de wijzigingen vast en ontkoppel de installatiekopie.

  6. Als u de module Windows Deployment Services gebruikt, klikt u met de rechtermuisknop op de uitgeschakelde installatiekopie en kiest u Installatiekopie vervangen.

  7. Importeer de gewijzigde installatiekopie aan de hand van de aanwijzingen in de wizard.

Machtigingen voor servereigenschappen

In het volgende gedeelte worden de minimale machtigingen beschreven die noodzakelijk zijn om gangbare beheertaken te kunnen uitvoeren met de pagina's met servereigenschappen. U geeft deze instellingen weer door de MMC-module Windows Deployment Services te openen, met de rechtermuisknop op de naam van de server te klikken en vervolgens op Eigenschappen te klikken.

 

Tabblad Instellingen waarvoor machtigingen vereist zijn

Instellingen PXE-reactie

  • PXE-antwoordbeleid . De instelling voor het PXE-antwoordbeleid wordt opgeslagen in het SCP-object (Simple Control Protocol) van de server. Voor het configureren van deze instellingen zijn lees- en schrijfmachtigingen voor dit object vereist.

    Doe het volgende om machtigingen voor het SCP-object toe te wijzen:
    1. Open Active Directorygebruikers en computers.

    2. Klik op Beeld en klik vervolgens op Geavanceerde opties (als deze optie nog niet is ingeschakeld).

    3. Klik met de rechtermuisknop op de computeraccount voor de gebruikte Windows Deployment Services-server en klik op Eigenschappen.

    4. Selecteer op het tabblad Installatie op afstand de optie Geavanceerde instellingen.

    5. Selecteer het tabblad Beveiliging en klik op Toevoegen.

    6. Selecteer de gebruiker en selecteer vervolgens Volledig beheer voor dit object.

  • PXE-antwoordvertraging . De instelling voor de PXE-antwoordvertraging wordt opgeslagen in het SCP-object van de server. Als u de PXE-antwoordvertraging voor een server wilt configureren, moet u het volgende object kunnen lezen en schrijven:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE\Providers\BINLSVC

    • Naam: netbootAnswerRequests

    • Type: REG_SZ

    • Waarde: False = geen clientaanvragen beantwoorden; True = clientaanvragen beantwoorden

Directory Services

  • Naamgevingsbeleid nieuwe client . Deze instelling wordt opgeslagen in het SCP-object op de server. Deze eigenschap heet: netbootNewMachineNamingPolicy

  • Locatie van clientaccount . Deze instelling wordt opgeslagen in het SCP-object op de server. Deze eigenschap heet: netbootNewMachineOU

Opstarten

Standaardopstartprogramma

  • Voor de hele server: Deze optie wordt ingesteld via de volgende registersleutel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootPrograms\<Arch>

    • Naam: Default

    • Type: REG_SZ

    • Waarde: het pad naar het standaardopstartprogramma van de client voor de hele server voor deze architectuur. Voorbeeld: boot\x86\pxeboot.com

  • Per computer: het kenmerk van de computeraccount is: netbootMachineFilePath

Standaard-opstartinstallatiekopie

  • Voor de hele server: deze optie wordt ingesteld via de volgende registersleutel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootImages\<Arch>

    • Naam: BootImagePath

    • Type: REG_SZ

    • Waarde: Het pad naar de standaard-opstartinstallatiekopie van de client voor de hele server voor deze architectuur. Voorbeeld: boot\x86\images\boot.wim

  • Per computer: het kenmerk van de computeraccount is: netbootMirrorDataFile

Client

Bestand voor installatie zonder toezicht

  • Voor de hele server: deze optie wordt ingesteld via de volgende registersleutel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WdsImgSrv\Unattend\x86

    • Naam: FilePath

    • Type: REG_SZ

    • Waarde: Het pad naar het bestand voor installatie zonder toezicht van de client voor de hele server ten opzichte van de map RemoteInstall. Voorbeeld: WdsClientUnattend\WdsUnattend.xml

  • Per computer: het kenmerk van de computeraccount is netbootMirrorDataFile.

Clientaccount maken

  • Deze optie wordt ingesteld via de volgende registersleutel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    • Naam: NewMachineDomainJoin

    • Type: DWORD

    • Waarde: 0 = clients niet aan domein toevoegen; 1 = clients wel aan domein toevoegen.

DHCP

  • Niet luisteren op poort 67 . Deze optie wordt ingesteld via de volgende registersleutel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE

    • Naam: UseDhcpPorts

    • Type: DWORD

    • Waarde: 0 = uitgeschakeld; 1 ingeschakeld

  • DHCP-optie 60 configureren naar 'PXEClient'.Hiertoe moet de gebruiker de Microsoft DHCP-server moet kunnen configureren die op de lokale computer wordt uitgevoerd.

Geavanceerd

  • DC/GC van de Windows Deployment Services-server (deze server). Deze instellingen worden op de volgende registerlocatie opgeslagen:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    Voor deze instellingen worden de volgende sleutels gebruikt:

    Standaarddomeincontroller

    • Naam: DefaultServer

    • Type: REG_SZ

    • Waarde: de FQDN-naam voor de standaarddomeincontroller

    Standaard globale-catalogusserver

    • Naam: DefaultGCServer

    • Type: REG_SZ

    • Waarde: de FQDN-naam voor de standaard globale-catalogusserver

  • DHCP-autorisatie. Deze wordt uitgevoerd voor middel van API's voor DHCP–u hebt machtigingen nodig om de Microsoft DHCP-server te autoriseren.

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft