Unter REGELN im Eigenschaftenfenster für die Bereitstellung habe ich folgendes:
JoinDomain=MYDOMAIN
DomainAdmin=MYID
DomainAdminDomain=MYDOMAIN
DomainAdminPassword=MYPW
Ist es sicher, das Hauptadministratorkonto dort hinzuzufügen, oder muss ich ein Konto erstellen, das nur dazu berechtigt ist, einen Computer der Domäne hinzuzufügen?
Antwort1
Meiner Meinung nach sollte für einen bestimmten Job wie diesen immer ein Konto erstellt werden.
Sie müssen wahrscheinlich berücksichtigen, wo Sie Ihre MDT-Bereitstellungsfreigabe abgelegt haben.
Manche Leute neigen dazu, die Bereitstellungsfreigabe auf dem Startlaufwerk des WDS-Servers oder an einem anderen leicht zugänglichen Ort zu belassen, an dem die NTFS-Berechtigungen sowie die Freigabeberechtigungen lauten: Jeder: Volle Berechtigung.
Die von Ihnen eingegebenen Werte werden letztendlich im Klartext gespeichert: DeploymentShare\Control\CustomSettings.ini
Dies bedeutet, dass ein Domänenbenutzer ganz einfach zum Speicherort navigieren und diese Anmeldeinformationen lesen kann, wenn für Ihre Bereitstellungsfreigabe sehr offene Berechtigungen vorhanden sind.
Abschließend möchte ich sagen, dass es davon abhängt, ob Sie Ihren Deploymentshare vor neugierigen Endbenutzern geschützt haben. Ich bin jedoch der Meinung, dass es immer die beste Vorgehensweise ist, ein dediziertes Konto für die Abwicklung solcher Prozesse zu erstellen.