MDT Dienstkonten erstellen

Es sind zwei neue Benutzerkonten für die Bereitstellung zu erstellen, die restriktive Zugriffsrechte auf die Windows Freigabe DeploymentShare$ und nur lesenden Zugriff auf die SQL-Express-Instanz ADK erhalten sollen.

Statt das Benutzerkonto Administrator zu verwenden, sollten Sie dafür Dienstkonten erstellen. Damit können im Schadensfall, die negativen Auswirkungen in einem System begrenzt werden.

Gerade im Hinblick auf die Konfiguration der Benutzer-Passwörter wäre die Verwendung des Domänen-Administratoren-Kontos nicht empfehlenswert, da das Kennwort im Klartext z. B. in der Datei bootstrap.ini hinterlegt ist. Dies stellt ein Sicherheitsrisiko dar und sollte vermieden werden.

MDT_BA

Das Benutzerkonto MDT_BA (MDT-Build-Account-Dienstkonto) wird einerseits für den lesenden Zugriff auf die Netzwerk-Freigabe DeploymentShare$ und andererseits für den Zugriff auf die SQL-Express-Instanz ADK verwendet.

Eine mögliche hierarchische Struktur der Organisationseinheiten in der Domäne contoso.int mit den dazugehörigen Dienstkonten MDT_BA und MDT_JD. Quelle: Deployment Guide - Alexander Scharmer

MDT_JD

Dagegen wird das Benutzerkonto MDT_JD (MDT-Join-Domain-Dienstkonto) für den Beitritt von Computerkonten in die Domäne contoso.int (Domainjoin, Who can add workstations to the domain?) angegeben. Die Delegation der AD DS-Rechte für das Benutzerkonto MDT_JD wird über ein eigenes PowerShell-Skript durchgeführt (siehe Delegieren von Rechten der MDT-Konten).

Falls Sie bereits an früherer Stelle ein Dienstkonto (z.B. in Challenge 5.2 MDT_JD) erstellt haben, müssen Sie dieses an dieser Stelle nicht wiederholen.

Erstellen der Dienstkonten

Erstellen der MDT-Dienstkonten im Active Directory in der graphischen Benutzeroberfläche

Für das Erstellen der Benutzerkonten MDT_BA und MDT_JD kann entweder die Snap-in-Konsole dsa.msc, das AD Verwaltungscenter dsac.exe oder das folgende PowerShell-Script genutzt werden:

CreateServiceAccountsMDT.ps1

$Pass = ConvertTo-SecureString "Password1!" -AsPlainText -Force
New-ADUser -Name MDT_BA -UserPrincipalName MDT_BA `
	-Description "MDT Build Account" `
	-AccountPassword $Pass `
	-ChangePasswordAtLogon $false `
	-Enabled $true `
	-Path "OU=Dienstkonten,OU=Hauptquartier,OU=Wien,OU=Contoso,DC=contoso,DC=int" `
#	-Path "OU=Dienstkonten,OU=Konten,OU=Contoso,DC=contoso,DC=int" `
	-CannotChangePassword $true `
	-PasswordNeverExpires $true
New-ADUser -Name MDT_JD -UserPrincipalName MDT_JD `
	-Description "MDT Join Domain Account" `
	-AccountPassword $Pass `
	-ChangePasswordAtLogon $false `
	-Enabled $true `
	-Path "OU=Dienstkonten,OU=Hauptquartier,OU=Wien,OU=Contoso,DC=contoso,DC=int" `
#	-Path "OU=Dienstkonten,OU=Konten,OU=Contoso,DC=contoso,DC=int" `
	-CannotChangePassword $true `
	-PasswordNeverExpires $true

Achtung! Damit dieses Script korrekt funktioniert, muss sichergestellt werden, dass der Path korrekt festgelegt wurde (siehe Zeilen 7 bzw. 8 und 16 bzw. 17).

• Zeile 7 und 16 passen zum Vorschlag der OU-Struktur aus Challenge 3.

• Zeile 8 und 17 passen zum Vorschlag der OU-Struktur aus dem Deployment Guide (siehe Organisationseinheiten erstellen).