MDT ドメイン展開セキュリティ

MDT ドメイン展開セキュリティ

展開のプロパティ ウィンドウの [ルール] に次の内容を設定します。

JoinDomain=MYDOMAIN
DomainAdmin=MYID
DomainAdminDomain=MYDOMAIN
DomainAdminPassword=MYPW

そこにメインの管理者アカウントを追加しても安全ですか、それともコンピューターをドメインに参加させる権限のみを持つアカウントを作成する必要がありますか?

答え1

私の意見では、このような特定のジョブ用に常にアカウントを作成します。

MDT 展開共有をどこに配置したかを考慮する必要があるでしょう。

一部のユーザーは、展開共有を WDS サーバーのブート ドライブ上、または NTFS アクセス許可と共有アクセス許可が「Everyone: フル アクセス許可」である他の簡単にアクセスできる場所に残す傾向があります。

入力した値は最終的にプレーンテキストで保存されます: DeploymentShare\Control\CustomSettings.ini

つまり、展開共有のアクセス許可が非常にオープンなままになっている場合、ドメイン ユーザーは簡単にその場所を参照して資格情報を読み取ることができます。

結論としては、好奇心旺盛なエンドユーザーからデプロイメントシェアを保護しているかどうかによって決まると思いますが、このようなプロセスを処理するための専用アカウントを作成することが常にベストプラクティスであると考えています。

関連情報