MDTロックドメイン管理者アカウント
私は職場でイメージング用のMDTを展開しました。展開プロセスの一環として、customsettings.iniファイルをドメインに参加するように設定しました。技術者は管理者の資格情報を入力するように求められ、適切なOUとドメインがすでに設定されています。
すべてが非常にうまく機能し、マシンが適切にイメージ化され、ドメインにバインドされ、すべてのソフトウェアがインストールされます。ただし、ドメイン管理者と話すときは、システムをイメージ化するたびに、AD\Administratorユーザーアカウントが自動的にロックされます。私たちの知る限り、MDTのターゲットシステムで使用されているローカルの「管理者」アカウントは、ローカルにログインするか、ローカルの管理者アカウントではなくAD\Administratorアカウントを使用してネットワークリソースにアクセスしようとしているようです。
unattend.xmlファイルにアクセスし、「。」を使用するようにログインユーザー設定を具体的に設定しました。ドメインですが、問題は解決しません。ただし、ドメインへの参加をスキップし、代わりにシステムを「ワークグループ」に参加させると、問題は解決します。 MDTがターゲットシステム上に作成するさまざまなログファイルを確認しましたが、これがなぜであるかについての明確な兆候は見つかりませんでした。これは、すべてのタスクシーケンスで発生します。
誰か提案がありますか?
まず、AD\Administratorアカウントの使用を停止します。そのような共有アカウントは、あらゆる種類の悪い考えです。ドメイン管理者アクセスが必要なすべての人は、ドメイン管理者のことを行うためだけに別のアカウントを持っている必要があります。 MDT専用のサービスアカウントを作成します。ドメイン管理者である必要はありません。必要なのは、コンピューターをドメインに参加させることだけです。 customsettings.iniまたはmdtデータベースで設定できます。
DomainAdmin = DeploymentAccount
DomainAdminDomain = Domain.local
DomainAdminPassword = S@msFantas1cP0rkSh0p
JoinDomain = Domain.local
MachineObjectOU = ComputerDeploymentOU
展開アカウントにドメイン管理者権限が与えられないようにするために、展開チームグループを作成しました。そのアカウントを、展開にアクセスする必要のある技術者とともに追加し、展開のためにOUからコンピューターを追加/削除するためのアクセス権を付与しました。コンピューターを展開するときは、問題なくそのOUに追加する必要があります。もう少し制御したい場合は、いつでもコンピュータアカウントを事前に作成することもできます。これを行うには、OUを右クリックして、[新規]-> [コンピューター]を選択します。次に、コンピューターオブジェクトの作成画面で、ユーザーまたはグループを展開チームに変更します。これを行うのが好きなのは、展開をもう少しうまく計画できるからです。これにより、そのアカウントで発生しているロックアウトの問題が修正されます。それでもロックアウトされている場合は、さらに深く掘り下げる時が来ました。少なくともこの方法で、デプロイメントが原因ではないことを確認できます。