Добавление: прошу прощения, не сразу разобрался в вашей проблеме. Итак,
Цитата:
Нажатие кнопки Далее вызовет диалоговое окно мандатов, и вам нужно ввести мандаты для выполнения установки (рисунок 6). Поскольку группы образов имеют разрешения чтения и выполнения (Allow Read and Execute) для всех образов встроенной идентификации аутентифицированных пользователей, здесь подойдут мандаты любого пользователя домена. Обратите внимание, что в строке заголовка диалогового окна мандатов также отображено имя сервера Windows DS, к которому подключен клиентский компьютер.
|
Взято
отсюда.
Учетные данные пользователя, под которым будет производиться установка, можно настроить через
Unattend.xml в свойствах сервера WDS:
У меня кусок
Unattend.xml выглядит так:
Код:
<WindowsDeploymentServices>
<Login>
<Credentials>
<Domain>my_domain</Domain>
<Username>mdt_join</Username>
<Password>123456*ZxC</Password>
</Credentials>
</Login>
<ImageSelection>
<InstallImage>
<Filename>seven.wim</Filename>
<ImageGroup>Windows 7</ImageGroup>
<ImageName>Windows_7</ImageName>
</InstallImage>
<InstallTo>
<DiskID>0</DiskID>
<PartitionID>1</PartitionID>
</InstallTo>
</ImageSelection>
</WindowsDeploymentServices>
Немного о "особой" учетной записи
mdt_join (
создается самостоятельно, но крайне полезна в работе):
Цитата:
...предоставьте соответствующие разрешения учетной записи mdt_join для создания и обновления учетных записей в Active Directory. Этот подход позволяет вам оставлять учетную запись mdt_join в качестве учетной записи простого пользователя домена, что решает нашу проблему безопасности, но требует внимательной работы для применения. Вкратце, нужно выполнить следующие шаги:
1. Откройте консоль Active Directory Users and Computers.
2. Выберите меню Вид (View), затем перейдите к дополнительным функциям (Advanced Features).
3. Создайте организационное подразделение (organizational unit – например, DeployedComputers) которое будет содержать учетные записи компьютеров для новых устанавливаемых машин (в этом случае вам не придется изменять разрешения в контейнере Computers.)
4. Откройте свойства организационного подразделения DeployedComputers OU и выберите закладку Безопасность (Security).
5. Нажмите Дополнительно (Advanced), чтобы открыть диалог дополнительных параметров безопасности (Advanced Security Settings) для OU.
6. Нажмите Добавить (Add) и добавьте ACE для вашей учетной записи mdt_join в ACLs для этого OU.
7. В диалоге записи разрешений (Permission Entry) задайте разрешения Allow (с границей установленной на значение Этот объект и все дочерние объекты (This Object And All Descendant Objects)) следующим образом: ' Создавать объекты компьютера (Create computer objects) ' Удалять объекты компьютера (Delete computer objects)
8. Нажмите OK, затем снова нажмите Добавить и добавьте второй ACE для вашей учетной записи mdt_join, который назначает разрешения Allow (с границей установленной на значение Все дочерние объекты компьютера (Descendant Computer Objects)) следующим образом: ' Чтение всех свойства (Read all properties) ' Запись всех свойств (Write all properties) ' Разрешения чтения (Read permissions) ' Разрешения записи (Write permissions) ' Смена пароля (Change password) ' Восстановление пароля (Reset password) ' Удостоверенная запись на узел с DNS-именем (Validated write to DNS host name) ' Удостоверенная запись на узел с именем участника службы
9. Несколько раз нажмите OK, чтобы закрыть все открытые диалоги.
Теперь ваша учетная запись mdt_join должна иметь возможность создания новых учетных записей компьютеров и обновления этих учетных записей при необходимости даже несмотря на то, что mdt_join не является членом группы администраторов домена.
|
