locked
Droits AD & Droit WDS & Droit AD DS & Politique de Nommage & Politique pour l'OU RRS feed

  • Question

  • Bonjour à la communauté !

    Alors voila, j'ai mon serveur de fonctionnel, une Image capturée avec WDS et un fichier de réponse qui répond parfaitement aux étapes de WDS cependant pour des raisons de droit (sur l'AD), la politique de nommage WDS (computer%01#) n'est pas appliqué & la création des ordinateurs n'est pas faite dans l'OU décider dans l'onglet AD DS . Mon compte qui se connecte au début de l'installation est par défaut Administrateur Local et à l'ensemble de droits possible sur l'OU

    J'ai fais comme teste (en plus d'Administrateur Local) :

    1 => Administrateur de domaine : La politique de nommage et l'OU est respecté (c'est de là que j'ai remarqué que c'était un souci de droit)

    2=> Tout les droits sur l'OU & Utilisateur simplement (La politique de nommage & la direction de l'OU n'est pas prisent en compte)

    3=> Seulement Administrateur Local (La politique de nommage & la direction de l'OU n'est pas prisent en compte)

    J'aimerai donc savoir quel droit exactement il faut dans l'AD DS pour avoir la possibilité d'utiliser l'ensemble des services de WDS (je ne comprend pas comment trouver &  attribuer les droits détaillés sur la page suivant de technet: http://technet.microsoft.com/en-us/library/cc754005.aspx)

    Merci d'avance pour votre aide




    mardi 15 janvier 2013 14:31

Réponses

  • Voila mon problème est résolu. La politique de nommage : ordinateur%01# est appliqué, l'ordinateur rejoint le domaine et crée un objet dans l'OU souhaité. Pour ceux qui passe voila comment j'ai fais:

    Dans un premier temps,j'utilise dans 4 specialize => Microsoft UnattendedJoin_neural (version: x86 ou amd64, wow64 peut importe) => Identification

    1) Join domaine => Le nom du domaine voulant être join (par exemple test.local comme domaine => mettre juste test)

    2) UnsecureJoin => True (ainsi pas besoin de mettre de un credential avec le risque d'interception des paramètres d'identification du compte que sont le login & mot de passe)

    Utiliser un compte Administrateur Local du serveur Windows 2008 ou Windows 2008 R2 et lui attribué aussi les droits de lire le contenu, lires toutes les propriétés , Écrire toutes les propriétés, crée objet ordinateur sur l'OU (unité d'organisation) ou lieu ou tu souhaites créer l'ordinateur (par défaut: Computers dans l'AD (active directory) pour vous loguer en début d'installation WDS (le log se fait dans la partie Windows Deployments Services => Login => Credentials pour le fichier de réponse)

    Pour ma part, j'ai fais deux fichiers de réponse (limitation des risques d'interception des données car le seul fichier ayant les informations non crypter est sur le serveur WDS donc non accessible pour une utilisateur normal "de préférence mettre un mot de passe différents entre le compte Administrateur local du pc et  Administrateur du serveur WDS)    => 1er destiné au serveur avec Microsoft Windows International core WinPE_neural & Windows Setup_neural (Disk configuration, Imageinstall , UserData & Windows deploiement service)

    1er

    Disk configuration

     =>Disk avec create paritions & modify partitions

     =>ImageInstall avec OSImage ayant dedans installTo

     =>User Data avec ProductKey (pour ma part je l'utilise juste pour WillShowIU true et j'active Windows via un script .bat )

      =>Windows deployment services avec:

            1) Imageselection => InstallImage & Install To

             2) Login => Credential

    Le deuxième:

    4specialize

     =>Microsoft_Windows Deployment_neural :

         RunSynchronous => RunSynchronousCommand => (permet d'activé le compte super admin)

          (permet d'activé le compte super Administrateur)   

     

      =>  Windows Shell Setup_neural => Modification TimeZone : (GMT+01:00) Brussels, Copenhagen, Madrid, Paris(Pour activé heure Fr)

       =>Microsoft-Windows-UnattendedJoin__neutral

          Identification avec comme modification JoinDomain : Nom du domaine (a.local mettre a )

           UnsecureJoin true

     

    7oobesSystem  (Les mots de passe sont crypter sur le fichier de réponse & sur le fichier de réponse copier sur l'ordinateur client n'a pas les logins & mots de passe => Supprimé automatiquement)

        => Microsoft-Windows-International-Core__neutral (pour fr, mettre partout : fr-FR)

        =>Microsoft Windows Shell Setup Neural

             1) Autologon (si vous voulez autolog un compte)

             2) FirstLogonCommands (Si vous voulez exécuter des commandes /scripts)

             3) Oobes (true, true , réseau souhaité "Home ou work ou public), protect Yourpc "1,2 ,3",

                 skipMachineoobe: true

         => UserAccounts

              1) AdministratorPassword (mot de passe Administrateur Local souhaité => Crypter une

              fois SIM fermé . 

              2) LocalAccounts

    Si vous avez un problème de nommage, regarder dans les droits sur l'AD, les options sur l'AD , etc .Pour mettre une politique de nommage en place ou un OU => Clique droit sur le serveur WDS, onglet AD DS (stratégie de nom & tout en bas => L'OU)

    Vous pouvez m'envoyer un message si vous avez des ennuis :=)(ou si vous voulez des scripts aussi type autolog, suppression d'un dossier & autosuppression du script, activation windows, installation d'avast "dernière version automatiquement sans chrome)








    mardi 29 janvier 2013 08:54

Toutes les réponses

  • Bonjour,

    est-ce que tes DC et ton serveur WDS sont dans la même langue ?

    Est-ce que tu peux déléguer les droits à ton serveur WDS sur l'OU dans laquelle sont crées les comptes ordinateurs ?

    Il faut suivre ceci : 

    To grant permissions to approve a pending computer

    1. Open Active Directory Users and Computers
    2. Right-click the OU where you are creating prestaged computer accounts, and then select Delegate Control
    3. On the first screen of the wizard, click Next
    4. Change the object type to include computers. 
    5. Add the computer object of the Windows Deployment Services server, and then click Next
    6. Select Create a Custom task to delegate.
    7. Select Only the following objects in the folder. Then select the Computer Objects check box, select Create selected objects in this folder, and click Next.
    8. In the Permissions box, select the Write all Properties check box, and click Finish


    Freddy ELMALEH - Active IT (Active IT)
    Consultant Freelance (Architecte AD, Infrastructure, Audit de sécurité, audit de sites web, tests d'intrusion, etc.)
    MVP Windows Server - Directory Services
    MCITP Enterprise Administrator (2008) - MCSE 2000/2003 Security - MCSA Messaging 2000/2003
    Bibliographie (Administration avancée sous Windows 2008 R2, La sécurité sous Windows 7, etc.)
    FaceBook Twitter LinkedIn

    mardi 15 janvier 2013 15:40
  • Rebonjour à toi !

    Déja un grand merci pour ton aide.  En effet j'ai oublié de préciser que le Serveur Wds est séparer du reste (DHCP, AD, DNS) . Je vais testé de déléguer les droits au serveur WDS sur l'OU et je te donne la réponse bien qu'en principe je l'ai déja fais lors de l'installation

    mardi 15 janvier 2013 16:11
  • je viens de regarder et c'est déjà fait donc le souci ne provient apparemment pas de là . Vous savez pas quel droits Utilise WDS pour l'ensemble de ces services (aussi l'utilisation des paramètres dans l'AD DS => Politique de nom & chemin de l'OU)
    mardi 15 janvier 2013 16:15
  • Je t'en prie pour l'aide.

    Si ca ne fonctionne toujours pas, n'hésite pas à nous détailler la délégation effectuée et l'OU en question (et de vérifier qu'elle correspond bien entendu bien à 'lOU défini dans WDS).


    Freddy ELMALEH - Active IT (Active IT)
    Consultant Freelance (Architecte AD, Infrastructure, Audit de sécurité, audit de sites web, tests d'intrusion, etc.)
    MVP Windows Server - Directory Services
    MCITP Enterprise Administrator (2008) - MCSE 2000/2003 Security - MCSA Messaging 2000/2003
    Bibliographie (Administration avancée sous Windows 2008 R2, La sécurité sous Windows 7, etc.)
    FaceBook Twitter LinkedIn

    mardi 15 janvier 2013 16:15
  • Le serveur WDS à l'autorisation totale sur l'OU et du coup, je passe par le serveur WDS pour la politique de nom  , l'OU  (détaillé dans l'AD DS) et je me log en début d'installation (au serveur WDS) par un compte qui n'est rien d'autre que Administrateur Local.

    Penses-tu que donner les pleins pouvoir sur l'OU au compte qui se log en début d'installation (donc au serveur WDS) peut résoudre mon problème?

    Il me met en erreur WDS :

    Le client WDS suivant a rencontré une erreur de jonction de domaine :

    GuidSession : {67b84e78-2517-4072-9493-6ce8fc1f4fb7}
    MAC : 24B6FDFDD4F4
    IP : 192.168.0.142
    GuidClient : {4c4c4544-0053-4310-8051-b1c04f475431}
    Arch : 9
    NomOrdinateur : Computer{67b84e78-2517-4072-9493-6ce8fc1f4fb7}#
    UOOrdinateur : OU=Test,OU=test,DC=domain,DC=local
    CodeErreur : 0x80070057

    Je suis actuellement en mode => 4 specialize => InsecureJoin => Nom du domaine (pas besoin d'identification pour une jonction UnsecureJoin). Quand je suis en mode Administrateur de Domaine en plus, il applique bien la politique de nom , rentre dans la bonne OU pour créer l'ordinateur & met le pc dans le domaine. 


    Si tu as besoin de plus de détail, pas de souci :=)
    jeudi 17 janvier 2013 08:16
  • Hello,

    oui en mode InsecureJoin, de ce dont je me souviens, c'est le compte qui se log en début d'installation qui doit avoir les droits d'ajouter le compte dans l'OU cible.

    Tiens nous au courant.


    Freddy ELMALEH - Active IT (Active IT)
    Consultant Freelance (Architecte AD, Infrastructure, Audit de sécurité, audit de sites web, tests d'intrusion, etc.)
    MVP Windows Server - Directory Services
    MCITP Enterprise Administrator (2008) - MCSE 2000/2003 Security - MCSA Messaging 2000/2003
    Bibliographie (Administration avancée sous Windows 2008 R2, La sécurité sous Windows 7, etc.)
    FaceBook Twitter LinkedIn

    jeudi 17 janvier 2013 09:06
  • Et en mode secureJoin, y'a t'il une chance pour que ce soit le serveur qui doit avoir les droits sur l'OU? Je vais testé les deux aujourd'hui (si j'ai le temps irl).

    Quelque chose d'autre, y'a t'il un moyen pour qu'il se log sur un compte bien en particulier (qui appartiens au réseau) sachant que j'ai besoin de m'autoLog sur le compte Administrateur Local ? Le compte est du type: Nom du domaine\Nom de l'utilisateur (log une fois pour que l'autolog se fasse sur ce compte et plus sur le compte Administrateur Local qui est autolog une fois pour activé Windows, etc). Script, GPO ?



    vendredi 18 janvier 2013 08:26
  • Bonjour!

    Après une semaine un peu mouvementé, me revoici revoilà toujours aussi motivé à trouver une solution. Nous avons donné au compte les pleins pouvoir sur l'OU mais apparemment, rien ne change. J'ai une piste (selon technet) comme quoi il faut accorder des droits dans le Service Point de Control (SCP 'en anglais')  donc je vais voir pour le tenter.

    Sinon voici un petit script VBS que j'ai crée entre temps (pour autolog le compte de votre choix) (je l'ai fais à partir de plusieurs scripts existants): (si vous avez un problème avec, mp moi,je prendrais note pour l'améliorer)

    Téléchargeable ici: http://www.multiupload.nl/5THEW8KM7G

    Voila le contenu

    ' --------------------------------------------------------------------------------------------Script en .vbs pour modifier l'autologon d'un ordinateur ------------------------------------------------------------------------------
    Option Explicit
    On Error Resume Next
    
    'Partie du script qui récupére le nom de l'ordinateur (fonction inutile pour l'instant mais c'est dans le but de crée un fichier log.txt => Soit opération réussi,base de registre modifiée Soit erreur avec la date, l'heure, nom ordinateur et le message d'erreur envoyé)
    Dim creationobjet
    Dim nomordinateur
    Dim log
    Set creationobjet = WScript.CreateObject("WScript.Network")
    nomordinateur = creationobjet.ComputerName
    log = "Fichier log" &nomordinateur& ".log"
    
    ' -------------------------------------------------------------------------------------------lignes qui gèrent la modification de la base de registre Windows------------------------------------------------------------------------
    'Gestion des informations nécéssaire dans la base de registre (possibilité de laisser blanc si l'on a par exemple pas de domaine à mettre)
    Dim nomutilisateur
    Dim motdepasse
    Dim nomdudomaine
    nomutilisateur = "monloginadmin" 'Mettre le nom d'utilisateur qu'on souhaite autologguer 
    motdepasse = "monpasswordadmin"  'Mettre le mot de passe (Attention, celui-ci sera en clair dans la base de registre)
    nomdudomaine = "domaine" 'Mettre le domaine par défaut
    
    'Gestion de la modification des informations dans la base de registre
    Dim WshShell
    Set WshShell = WScript.CreateObject("WScript.Shell")
    WshShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultUserName","" &nomutilisateur,"REG_SZ" 'Remplacement du DefautUserName par le nom qu'a prit la variable nomutilisateur
    
    WshShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultPassword","" &motdepasse,"REG_SZ" 'Remplacement du DefautPassword par le nom qu'a prit la variable motdepasse
       
    WshShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AutoAdminLogon",1,"REG_SZ"  ' AutoAdminLogon: Activation ou Désactivation de l'autologgin (0 désactivé et 1 activé)
    
    WshShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName","" &nomdudomaine,"REG_SZ" 'Remplacement du DefautDomainName par le nom qu'a prit la variable nomdudomaine
    





    vendredi 25 janvier 2013 09:34
  • Voila mon problème est résolu. La politique de nommage : ordinateur%01# est appliqué, l'ordinateur rejoint le domaine et crée un objet dans l'OU souhaité. Pour ceux qui passe voila comment j'ai fais:

    Dans un premier temps,j'utilise dans 4 specialize => Microsoft UnattendedJoin_neural (version: x86 ou amd64, wow64 peut importe) => Identification

    1) Join domaine => Le nom du domaine voulant être join (par exemple test.local comme domaine => mettre juste test)

    2) UnsecureJoin => True (ainsi pas besoin de mettre de un credential avec le risque d'interception des paramètres d'identification du compte que sont le login & mot de passe)

    Utiliser un compte Administrateur Local du serveur Windows 2008 ou Windows 2008 R2 et lui attribué aussi les droits de lire le contenu, lires toutes les propriétés , Écrire toutes les propriétés, crée objet ordinateur sur l'OU (unité d'organisation) ou lieu ou tu souhaites créer l'ordinateur (par défaut: Computers dans l'AD (active directory) pour vous loguer en début d'installation WDS (le log se fait dans la partie Windows Deployments Services => Login => Credentials pour le fichier de réponse)

    Pour ma part, j'ai fais deux fichiers de réponse (limitation des risques d'interception des données car le seul fichier ayant les informations non crypter est sur le serveur WDS donc non accessible pour une utilisateur normal "de préférence mettre un mot de passe différents entre le compte Administrateur local du pc et  Administrateur du serveur WDS)    => 1er destiné au serveur avec Microsoft Windows International core WinPE_neural & Windows Setup_neural (Disk configuration, Imageinstall , UserData & Windows deploiement service)

    1er

    Disk configuration

     =>Disk avec create paritions & modify partitions

     =>ImageInstall avec OSImage ayant dedans installTo

     =>User Data avec ProductKey (pour ma part je l'utilise juste pour WillShowIU true et j'active Windows via un script .bat )

      =>Windows deployment services avec:

            1) Imageselection => InstallImage & Install To

             2) Login => Credential

    Le deuxième:

    4specialize

     =>Microsoft_Windows Deployment_neural :

         RunSynchronous => RunSynchronousCommand => (permet d'activé le compte super admin)

          (permet d'activé le compte super Administrateur)   

     

      =>  Windows Shell Setup_neural => Modification TimeZone : (GMT+01:00) Brussels, Copenhagen, Madrid, Paris(Pour activé heure Fr)

       =>Microsoft-Windows-UnattendedJoin__neutral

          Identification avec comme modification JoinDomain : Nom du domaine (a.local mettre a )

           UnsecureJoin true

     

    7oobesSystem  (Les mots de passe sont crypter sur le fichier de réponse & sur le fichier de réponse copier sur l'ordinateur client n'a pas les logins & mots de passe => Supprimé automatiquement)

        => Microsoft-Windows-International-Core__neutral (pour fr, mettre partout : fr-FR)

        =>Microsoft Windows Shell Setup Neural

             1) Autologon (si vous voulez autolog un compte)

             2) FirstLogonCommands (Si vous voulez exécuter des commandes /scripts)

             3) Oobes (true, true , réseau souhaité "Home ou work ou public), protect Yourpc "1,2 ,3",

                 skipMachineoobe: true

         => UserAccounts

              1) AdministratorPassword (mot de passe Administrateur Local souhaité => Crypter une

              fois SIM fermé . 

              2) LocalAccounts

    Si vous avez un problème de nommage, regarder dans les droits sur l'AD, les options sur l'AD , etc .Pour mettre une politique de nommage en place ou un OU => Clique droit sur le serveur WDS, onglet AD DS (stratégie de nom & tout en bas => L'OU)

    Vous pouvez m'envoyer un message si vous avez des ennuis :=)(ou si vous voulez des scripts aussi type autolog, suppression d'un dossier & autosuppression du script, activation windows, installation d'avast "dernière version automatiquement sans chrome)








    mardi 29 janvier 2013 08:54
  • c'est avec plaisir que j'aide la communauté. Je suis désolé pour ne pas avoir pu détailler au maximum les rubriques du fichier de réponse mais il faut dire que ça aurait été trop long comme message et peu clair (déjà pas facile de le rendre clair).

    A l'occasion (prochainement) je rajouterais les liens qui m'ont été utile (documentation exclusivement sur WDS), des conseils / galères que j'ai rencontré  et comment je les ai résolu, peut être des scripts en .bat / vbs util, etc .

    mercredi 30 janvier 2013 08:33
  • Bonjour,

    Etant donné que ce post traite des droits avec WDS / DHCP / AD DS, je me permets de poser une question.

    Voilà pour mon entreprise je dois mettre en place un serveur WDS qui aura plusieurs rôles en tout cas les rôles nécessaires voir indispensables pour faire fonctionner WDS / WAIK / ADK.

    Nous avons déjà un AD de prod qui fonctionne pour des milliers de comptes (users et computers) dans cet AD je n'ai pas de droit administrateur du domaine mais des droits suffisants pour créer / supprimer des objets de types user/computer ainsi qu'ajouter des objets dans des OU ou des groupes, par contre je n'ai pas la main sur les GPO.

    mais question est la suivant: Que faut-il comme droits ou attributs pour ajouter le rôle DHCP et son paramétrage ainsi que pour WAIK et ADK, une fois installés puissent intégrer ou joindre des objets computer dans l'AD de prod?

    J'espère que j'ai été assez claire.

    En vous remerciant.

    jeudi 7 février 2013 21:05
  • Il me semble que si vous souhaitez ajouter le DHCP sur votre serveur WDS (si c'est le cas, il ne faudra pas oublié de mettre les options : clique droit sur votre serveur => onglet DHCP => Les deux options à cocher) il faut juste être Administrateur Local du poste (pour installé le rôle,crée une nouvelle forêt, etc par contre si vous voulez utiliser une forêt existante il faudra avoir les droits pour).

    Mais ce que je comprend pas ,c'est pourquoi vous n'utilisez pas le DHCP , DNS et AD DS déjà crée (moins de travail). Pour ma part, j'ai un DHCP , DNS et AD DS séparer du serveur WDS et j'ai crée une OU (ou tu stockes les pc que tu deplois) ou le compte utilisateur qui : se log en début d'installation Windows qui rentre le pc dans le domaine, applique la politique de nommage, est Administrateur Local du Serveur WDS (pour l'acces & gestion du dossier remoteinstall) & a exactement les droits de lecture, écriture,de crée tous les objets enfants, supprimer tous les objets enfants sur l'OU






    vendredi 8 février 2013 08:52
  • Si je m'y prend de la sorte c'est que je n'ai pas suffisamment de droit sur l'infra de prod. Et l'existant de mon wds, qui fonctionne très bien, en mode autonome(son propre ad ds, dhcp, dns, etc...) n'est pas du tout à jour ni activé car sur un réseau isolé et donc système totalement instable. Donc le but est d'intégrer wds dans l'infra.
    dimanche 10 février 2013 08:58
  • Pour ma part, j'ai eu des souci quand j'ai sorti l'ordinateur du domaine puis re rentré dedans donc j'ai finis par opté la réinstallation puis le rentré directement dans l'environnement souhaité ainsi plus de souci. Surtout qu'il faudra supprimé ton AD (ça encore, tu peux en avoir une séparer de ta prod) , DNS et DHCP si tu souhaites utiliser celui de ton infra (car pas sur que avoir deux DHCP soient une bonne chose dans une infra sauf si y'a paramétrage). Essaye et après reviens posté ici quand si tu tests pas, je ne serais pas comment je peux t'aider.

    Pour l'activation, c'est normalement pas un souci pour le serveur de déploiement (il fonctionne quand même ).


    voila un site sur les droits nécessaires : http://technet.microsoft.com/fr-fr/library/cc754005%28v=ws.10%29.aspx
    lundi 11 février 2013 09:01
  • Merci pour ton retour sur expérience. Ton message date un peut mais j'ai un problème très similaire.

    Lors de mes tests, si j'indique le compte de l'administrateur du serveur, le nommage n'est pas respecté et la station ce place dans une OU différente de celle que j'ai configuré dans WDS.

    Étrangement, même si j'indique de ne pas joindre la station au domaine, via le fichier de réponse, l'intégration est faite sans respecter les paramètres du serveur WDS. Je doit supprimer l'identifiant contenu dans le fichier de réponse pour conserver la station hors du domaine.

    A moins que mon prédécesseur ai modifié quelques choses de particulier, je ne comprend pas pourquoi avec le compte administrateur du serveur j'ai un comportement qui ressemble à un problème de droits sur l'AD

    jeudi 15 décembre 2016 19:55