Tengo lo siguiente en REGLAS en la ventana de propiedades para la implementación:
JoinDomain=MYDOMAIN
DomainAdmin=MYID
DomainAdminDomain=MYDOMAIN
DomainAdminPassword=MYPW
¿Es seguro agregar la cuenta de administrador principal allí o necesito crear una que solo tenga el poder de unir una computadora al dominio?
Respuesta1
En mi opinión, cree siempre una cuenta para un trabajo específico como este.
Probablemente deberá tener en cuenta dónde ha colocado su recurso compartido de implementación de MDT.
Algunas personas tienden a dejar el recurso compartido de implementación en la unidad de arranque del servidor WDS o en algún otro lugar de fácil acceso en el que los permisos NTFS y los permisos compartidos digan: Todos: permiso completo.
Los valores que ingresa finalmente se almacenan en texto sin formato: DeploymentShare\Control\CustomSettings.ini
Esto significa que si su recurso compartido de implementación tiene permisos muy abiertos, un usuario del dominio puede navegar fácilmente hasta la ubicación y leer esas credenciales.
Para concluir, creo que depende de si ha protegido su implementación compartida de usuarios finales curiosos, aunque siempre creo que es una buena práctica crear una cuenta dedicada para manejar procesos como este.