Exportar (0) Imprimir
Expandir Tudo

Permissões necessárias

Atualizado: maio de 2008

Aplica-se a: Windows Server 2008, Windows Server 2008 R2

Este capítulo descreve as seguintes permissões e, quando apropriado, como concedê-las.

Para administrar totalmente um servidor dos Serviços de Implantação do Windows, são necessárias as seguintes permissões:

  • Administrador local do servidor dos Serviços de Implantação do Windows. Isso dá os seguintes direitos:

    • Permissões de arquivo e permissões para a pasta RemoteInstall (as ferramentas de gerenciamento interagem com o armazenamento de imagens usando caminhos UNC).

    • Permissões hive do Registro. Muitas configurações do servidor dos Serviços de Implantação do Windows são armazenadas em HKEY_LOCAL_MACHINE\System e são necessárias as permissões apropriadas para esse local a fim de alterá-las.

  • Administrador do domínio que contém o servidor dos Serviços de Implantação do Windows. Isso concede permissões sobre o SCP (Service Control Point) no AD DS (Serviços de Domínio do Active Directory) para o servidor dos Serviços de Implantação do Windows. Algumas definições de configuração para o servidor são armazenadas aqui.

  • Administrador de empresa (opcional). Isso concede permissões de autorização do protocolo DHCP. Se a autorização DHCP for habilitada, o servidor dos Serviços de Implantação do Windows deve ser autorizado no AD DS antes de poder atender às solicitações PXE do cliente de chamada. A autorização DHCP é armazenada no contêiner Configuração do AD DS.

É sempre útil delegar o gerenciamento de um servidor dos Serviços de Implantação do Windows a uma conta diferente do administrador de domínio ou administrador de empresa (e conceder essas permissões gerais à conta delegada). A conta de administrador delegado deve ser um administrador local e de domínio conforme especificado acima.

A tabela a seguir contém as tarefas comuns e as permissões necessárias para cada uma delas.

 

Tarefa Permissões necessárias

Adicionar ou remover um grupo de imagens

Controle total sobre C:RemoteInstall\Images\ImageGroup.

Adicionar ou remover uma imagem

Controle total sobre C:RemoteInstall\Images\ImageGroup.

Desabilitar uma imagem

Permissão de leitura e gravação de atributos para o arquivo de imagem associado. Desabilitar uma imagem significa ocultar o arquivo de imagem do Windows (.wim) associado a ela.

Adicionar uma imagem de inicialização

Acesso de leitura e gravação para o seguinte:

  • C:RemoteInstall\Boot

  • C:RemoteInstall\Admin (esta pasta só é apresentada se você atualizar do Windows Server 2003).

  • %TEMP%

Remover uma imagem de inicialização

Acesso de leitura e gravação para C:RemoteInstall\Boot.

Definir propriedades em uma imagem

Permissões de leitura e gravação para o arquivo de metadados .wim que representa a imagem. Esse arquivo está localizado dentro do grupo de imagens em: C:RemoteInstall\Images\ImageGroup.

Pré-testar um computador

Permissões para criar contas no domínio, bem como gravar nas propriedades de um objeto de computador.

  1. Abra Usuários e Computadores do Active Directory.

  2. Clique com o botão direito do mouse na UO (unidade organizacional) na qual você está criando contas de computador pré-testadas e selecione Delegar Controle.

  3. Na primeira tela do assistente, clique em Avançar.

  4. Adicione o usuário ou grupo ao qual deseja delegar controle e clique em Avançar.

  5. Selecione Criar uma tarefa personalizada para delegar.

  6. Selecione Somente os seguintes objetos na pasta.

    1. Marque a caixa de seleção Computador Objetos.

    2. Selecione Criar objetos selecionados nesta pasta

    3. Clique em Avançar.

  7. Na caixa Permissões, marque a caixa de seleção Gravar Todas as Propriedades.

  8. Clique em Concluir.

Aprovar um computador pendente

Permissões de leitura e gravação para a pasta que contém o arquivo de banco de dados Binlsvcdb.mdb no compartilhamento RemoteInstall (por exemplo, C:RemoteInstall\MGMT). A conta real de um computador pendente aprovado é criada usando o token de autenticação do servidor, e não o token do administrador que está executando a aprovação. Portanto, no AD DS, você deve conceder direitos à conta do servidor dos Serviços de Implantação do Windows (WDSSERVER$) para criar objetos de conta de computador para os contêineres e UOs nos quais os computadores pendentes aprovados serão criados.

  1. Abra Usuários e Computadores do Active Directory.

  2. Clique com o botão direito do mouse na UO na qual você está criando as contas de computador pré-testadas e selecione Delegar Controle.

  3. Na primeira tela do assistente, clique em Avançar.

  4. Altere o Tipo de Objeto para incluir Computadores.

  5. Adicione o objeto de computador do servidor dos Serviços de Implantação do Windows e clique em Avançar.

  6. Selecione Criar uma tarefa personalizada para delegar.

  7. Selecione Somente os seguintes objetos na pasta.

    1. Marque a caixa de seleção Computador Objetos.

    2. Selecione Criar objetos selecionados nesta pasta

    3. Clique em Avançar.

  8. Na caixa Permissões, marque a caixa de seleção Gravar Todas as Propriedades.

  9. Clique em Concluir.

Pré-testar um computador para adicioná-lo a um domínio

A conta do usuário deve ter permissões para ingressar no domínio. A configuração de direitos de ingresso JoinRights determina o conjunto de privilégios de segurança, e a propriedade de usuário determina quais usuários têm o direito de ingressar no domínio.

A configuração tem dois valores:

  • Ingressar somente. Um usuário que possui o direito Ingressar somente não pode ingressar no domínio sem a assistência do administrador (um administrador com permissões apropriadas no objeto de conta de computador deve reiniciar a conta de computador antes da instalação do cliente e do ingresso no domínio).

  • Completo. Um usuário que possui o direito Completo pode reiniciar uma conta e ingressar no domínio sem a assistência do administrador.

Para a propriedade de usuário, há dois modelos de administração que podem ser usados.

  • (Recomendado) Você pode associar um usuário primário à conta no momento em que o computador é aprovado. Quando o computador for aprovado, a conta de computador concederá ao usuário primário os seguintes direitos:

    • Ler e gravar todas as propriedades no objeto de computador (Direitos de Ingresso = Ingressar Somenteou Direitos de Ingresso = Completo)

    • Reiniciar e alterar os direitos de senha no objeto de computador (Direitos de Ingresso = Completo)

  • Você pode especificar os padrões de servidor para o usuário e os Direitos de Ingresso aplicáveis para todos os clientes aprovados de determinada arquitetura. Os valores padrão concedem aos administradores de domínio o direito de ingresso Completo. Se você não atribuir um usuário primário à conta de computador no momento da aprovação, esses valores padrão entrarão em vigor.

    noteObservação
    Se você estiver criando contas de computador com um controlador de domínio em um idioma diferente do inglês e estiver usando a propriedade de usuário padrão, será necessário definir as configurações de adição automática para usar uma conta diferente que não contenha caracteres estendidos. Por exemplo, XXXX. Para alterar esse valor, consulte a ajuda no prompt de comando para WDSUTIL /set-server /AutoAddSettings.

O usuário primário e as propriedades de Direitos de Ingresso são definidos no momento em que a conta de computador é criada. Portanto, são necessários os mesmos direitos para criar objetos de computador que para aprovar computadores pendentes. Para alterar os padrões por servidor (por arquitetura), são necessárias permissões de leitura e gravação para as seguintes chaves do Registro:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<arch>

    Nome: Direitos de Ingresso

    Digite: DWORD

    Valor: 0 = JoinOnly; 1 = Full

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\AutoApprove\<arch>

    Nome: Usuário

    Digite: REG_SZ

    Valor: nome do grupo ou usuário

Converter uma imagem RIPREP

  • Permissões de leitura e gravação para o diretório %TEMP% e o local de destino

  • Permissões de leitura para a imagem RIPREP original

Criar uma imagem de descoberta ou de captura

  • Permissões de leitura e gravação para o diretório %TEMP% e o local de destino

  • Permissões de leitura para a imagem de inicialização original

Criar uma transmissão multicast

  • Controle total sobre a seguinte chave do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

  • Permissões de leitura para RemoteInstall\Images\ImageGroup.

Modificar uma transmissão multicast (por exemplo, excluir, desativar, iniciar, parar, desconectar etc.)

Controle total sobre a seguinte chave do Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\Multicast

Em geral, para executar uma instalação de cliente são necessários direitos de usuário de domínio. Entretanto, permissões adicionais podem ser necessárias dependendo do cenário. Esta seção descreve o conjunto mínimo de permissões necessárias para executar tarefas comuns de instalação.

 

Tarefa Permissões necessárias

Inicializar com PXE de um computador cliente

Nenhuma permissão é necessária para inicializar um cliente no PXE e não existe nenhum mecanismo para proteger o processo de inicialização na rede. Se a segurança for importante para você, recomendamos que use mídia física (por exemplo, que contenha uma imagem de descoberta) para inicializar cada computador.

Selecionar uma imagem de inicialização

Nenhuma permissão é necessária para selecionar uma imagem de inicialização e não existe nenhum mecanismo para proteger as entradas que são exibidas na lista. O primeiro mecanismo de autenticação ocorre ao usar o cliente dos Serviços de Implantação do Windows executado no Windows PE.

Selecionar uma imagem de instalação

As credenciais fornecidas na interface do usuário do cliente dos Serviços de Implantação do Windows devem ser as de uma conta de domínio. Depois que um cliente é autenticado no servidor dos Serviços de Implantação do Windows, o usuário autenticado deve ser capaz de ler o arquivo de instalação .wim e o arquivo Res.rwm na pasta RemoteInstall. Por padrão, usuários autenticados possuem permissões para tanto.

Ingressar em um domínio

A conta do usuário deve ter permissões para ingressar no domínio. A configuração de direitos de ingresso JoinRights determina o conjunto de privilégios de segurança, e a propriedade de usuário determina quais usuários têm o direito de ingressar no domínio.

A configuração tem dois valores:

  • Ingressar somente. Um usuário que possui o direito Ingressar somente não pode ingressar no domínio sem a assistência do administrador (um administrador com permissões apropriadas no objeto de conta de computador deve reiniciar a conta de computador antes da instalação do cliente e do ingresso no domínio).

  • Completo. Um usuário que possui o direito Completo pode reiniciar uma conta e ingressar no domínio sem a assistência do administrador.

Para a propriedade de usuário, há dois modelos de administração que podem ser usados.

  • (Recomendado) Você pode associar um usuário primário à conta no momento em que o computador é aprovado. Quando o computador for aprovado, a conta de computador concederá ao usuário primário os seguintes direitos:

    • Ler e gravar todas as propriedades no objeto de computador (Direitos de Ingresso = Ingressar Somenteou Direitos de Ingresso = Completo)

    • Reiniciar e alterar os direitos de senha no objeto de computador (Direitos de Ingresso = Completo)

  • Você pode especificar os padrões de servidor para o usuário e os Direitos de Ingresso aplicáveis para todos os clientes aprovados de determinada arquitetura. Os valores padrão concedem aos administradores de domínio o direito de ingresso Completo. Se você não atribuir um usuário primário à conta de computador no momento da aprovação, esses valores padrão entrarão em vigor.

Se o computador for pré-testado (ou seja, se uma conta de computador que representa o computador cliente físico já existir no AD DS), o usuário executando a instalação (ou as credenciais no Arquivo Autônomo para o ingresso no domínio) precisa de Direitos de Ingresso apropriados (conforme discutido anteriormente).

Se o computador não for pré-testado (ou seja, os Serviços de Implantação do Windows criarão uma conta de computador no AD DS), o usuário executando a instalação (ou as credenciais especificadas no Arquivo Autônomo para o ingresso no domínio) precisa de direitos para adicionar um computador pré-testado e os Direitos de Ingresso apropriados.

Usando /ResetBootProgram

Se a funcionalidade ResetBootProgram estiver habilitada, o usuário precisa de permissões de leitura e gravação para a propriedade netbootMachineFilePath no objeto de computador pré-testado. Se essa permissão não for concedida e o programa de inicialização do usuário for definido como pxeboot.n12, os Serviços de Implantação do Windows não poderão redefinir o NBP como pxeboot.com, impondo um loop de reinicialização infinito no computador. Para obter mais informações, consulte Gerenciando programas de inicialização de rede.

Desabilitando o acesso ao prompt de comando durante instalações

Por padrão, os usuários podem ter acesso a um prompt de comando durante as instalações dos Serviços de Implantação do Windows:

  • Pressionando Shift+F10 quando a instalação estiver sendo executada no Windows PE.

  • Pressionando Shift+F10 quando o Assistente de Captura de Imagem estiver sendo executado no Windows PE.

  • Pressionando e mantendo pressionada a tecla CTRL quando o Windows PE (Ambiente de Pré-Instalação do Windows) estiver sendo inicializado.

  • Pressionando Shift+F10 quando a OOBE (Configuração inicial pelo usuário) estiver sendo executada (OOBE é o assistente normalmente executado depois da instalação).

    ImportantImportante
    Uma janela do Prompt de Comando aberta durante a OOBE será executada no contexto do sistema. Se essa janela não for fechada na conclusão da instalação, o usuário poderá ter acesso a ela e, portanto, terá direitos do sistema, embora não seja um administrador local no computador cliente.

É possível desabilitar essa funcionalidade adicionando um DisableCmdRequest.tag à imagem.

  1. No snap-in Serviços de Implantação do Windows do MMC, clique com o botão direito do mouse na imagem de inicialização desejada e selecione Desabilitar.

  2. Monte a imagem para acesso a leitura e gravação usando as ferramentas fornecidas no Windows AIK (Kit de Instalação Automatizada).

  3. Crie o arquivo %windir%\Setup\Scripts\DisableCmdRequest.tag na imagem montada.

  4. Confirme as alterações e desmonte a imagem.

  5. No snap-in Serviços de Implantação do Windows do MMC, clique com o botão direito do mouse na imagem de inicialização desejada e selecione Habilitar.

  1. No snap-in Serviços de Implantação do Windows do MMC, clique com o botão direito do mouse na imagem de inicialização desejada e escolha Desabilitar.

  2. Exporte a imagem para um arquivo .wim externo.

  3. Monte a imagem para acesso a leitura e gravação usando as ferramentas fornecidas no Windows AIK.

  4. Crie o arquivo %windir%\Setup\Scripts\DisableCmdRequest.tag na imagem montada.

  5. Confirme as alterações e desmonte a imagem.

  6. No snap-in Serviços de Implantação do Windows do MMC, clique com o botão direito do mouse na imagem de instalação desabilitada e escolha Substituir Imagem.

  7. Siga as instruções no assistente para importar novamente a imagem de instalação modificada.

A seção a seguir descreve o conjunto mínimo de permissões necessárias para executar tarefas comuns de gerenciamento usando as páginas de propriedades do servidor. Para acessar essas configurações, abra o snap-in Serviços de Implantação do Windows, clique com o botão direito do mouse no servidor e clique em Propriedades.

 

Guia Configurações que exigem permissões

Configurações da Resposta do PXE

  • Diretiva de resposta do PXE . A diretiva de resposta do PXE é armazenada no protocolo SCP do servidor. A definição dessas configurações exige permissões de leitura e gravação para esse objeto.

    1. Abra Usuários e Computadores do Active Directory.

    2. Clique em Exibir e clique em Recursos Avançados (se já não estiver habilitado).

    3. Clique com o botão direito do mouse na conta de computador para o servidor dos Serviços de Implantação do Windows e clique em Propriedades.

    4. Na guia Instalação Remota, selecione Configurações Avançadas....

    5. Selecione a guia Segurança e clique em Adicionar....

    6. Selecione o usuário e Controle Total sobre este objeto.

  • Atraso da resposta do PXE . O atraso da resposta do PXE é armazenado no SCP do servidor. Para configurar o atraso da resposta do PXE para um servidor, você deve ter direitos de leitura e gravação sobre o seguinte objeto:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE\Providers\BINLSVC

    • Nome: netbootAnswerRequests

    • Digite: REG_SZ

    • Valor: False = não responde às solicitações de nenhum cliente; True = responde às solicitações de clientes

Serviços de Diretório

  • Diretiva de nomeação de cliente novo . Esta configuração é armazenada no objeto SCP do servidor. A propriedade se chama: netbootNewMachineNamingPolicy

  • Local da conta do cliente . Esta configuração é armazenada no objeto SCP do servidor. A propriedade se chama: netbootNewMachineOU

Inicialização

Programa de inicialização padrão

  • Todo o servidor: esta opção é controlada pela seguinte chave do Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootPrograms\<arch>

    • Nome: Padrão

    • Digite: REG_SZ

    • Valor: caminho até o programa de inicialização padrão de cliente em todo o servidor para esta arquitetura. Por exemplo: boot\x86\pxeboot.com

  • Por computador: O atributo da conta de computador é: netbootMachineFilePath

Imagem de inicialização padrão

  • Todo o servidor: esta opção é controlada pela seguinte chave do Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC\BootImages\<arch>

    • Nome: BootImagePath

    • Digite: REG_SZ

    • Valor: caminho até a imagem de inicialização padrão de cliente em todo o servidor para esta arquitetura. Por exemplo: boot\x86\images\boot.wim

  • Por computador: O atributo da conta de computador é: netbootMirrorDataFile

Cliente

Arquivo autônomo

  • Todo o servidor: esta opção é controlada pela seguinte chave do Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WdsImgSrv\Unattend\x86

    • Nome: FilePath

    • Digite: REG_SZ

    • Valor: caminho até o Arquivo autônomo de cliente em todo o servidor relativo à pasta RemoteInstall. Por exemplo: WdsClientUnattend\WdsUnattend.xml

  • Por computador: O atributo da conta de computador é netbootMirrorDataFile

Criação de conta de cliente

  • esta opção é controlada pela seguinte chave do Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    • Nome: NewMachineDomainJoin

    • Digite: DWORD

    • Valor: 0 para impedir o ingresso de clientes no domínio; 1 para habilitá-lo.

DHCP

  • Não escutar na porta 67 . Esta opção é controlada pela seguinte chave do Registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSSERVER\Providers\WDSPXE

    • Nome: UseDhcpPorts

    • Digite: DWORD

    • Valor: 0 desabilitado; 1 habilitado

  • Configure a opção DHCP 60 como "PXEClient".Isso requer que o usuário possa configurar o servidor DHCP da Microsoft executado no computador local.

Avançado

  • DC/GC usado pelo servidor dos Serviços de Implantação do Windows (este servidor). Estas configurações são armazenadas no seguinte local do Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WDSServer\Providers\WDSPXE\Providers\BINLSVC

    As chaves para estas configurações são:

    Controlador de domínio padrão

    • Nome: DefaultServer

    • Digite: REG_SZ

    • Valor: FQDN para o controlador de domínio padrão

    Servidor de catálogo global padrão

    • Nome: DefaultGCServer

    • Digite: REG_SZ

    • Valor: FQDN para o servidor de catálogo global padrão

  • Autorização de DHCP. Executada com APIs DHCP (são necessárias permissões para autorizar o servidor DHCP da Microsoft).

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

Mostrar:
© 2015 Microsoft