,,,,,, tip: du kan finde flere oplysninger om automatisering af lti indsættelse i vinduerne 7 ressource kit fra microsoft presse.jeg er hovedforfatteren til denne ressource - og jeg fastholder også de uofficielle støtte sted til windows 7 ressource kit med svar på spørgsmål stillet af læserne samt links til de seneste ressourcer på windows 7 anvendelse, administration og problemløsning., i den foregående artikel i denne serie, vi undersøgte de sikkerhedsspørgsmål, der involverer to brugerkonti, der anvendes af mdt:,,, den konto, der er angivet i bootstrap.ini, der anvendes af target - computere til at forbinde til indsættelsen andel på din mdt server, den konto, der er angivet i customsettings.ini, der anvendes af target - computere i område i gennemførelsen af de installere.,,, jeg anførte, at det i et enkelt laboratorium miljø, det er okay at bruge standard administrator højde for tilgængelige for begge disse formål.men af hensyn til sikkerheden i deres produktion, miljø, vil du sandsynligvis vil bruge særskilte regnskaber for hver af disse formål, og helst almindeligt tilgængelige brugere regnskaber i stedet for område admins regnskaber.så det, vi gjorde, i den foregående artikel, er at skabe to nye domæne brugere regnskaber: mdt_build for vores bootstrap.ini fil og mdt_join for vores customsettings.ini fil.efter det vi ajourført vores indsættelse andel, fordi vores bootstrap.ini fil, havde ændret sig, og så vi brændte som følge litetouchpe_x64.iso fil til cd - medier.hvis vi så tilmed vores mål computere med denne cd, mdt vil anvende windows 7 til dem, men de customizations trådte i den mdt database vil ikke blive anvendt, og en sql forbindelse fejl vil følge.problemet er, at vores konto contoso. mdt_build ikke har opnået ret til at få adgang til vores mdt database med vinduer integreret sikkerhed.denne artikel viser, hvordan man kan løse dette sql spørgsmål, og det beskriver også, hvordan vi sikrer dit domæne tiltræder (forholdsvis) sikre.,, at installere sql server forvaltning studie, at ændre adgang til mdt database om vores sql - serveren, kan vi bruge sql - forvaltning - studiet.i denne række af artikler, vi bruger sql - 2008 udtrykke udgave sp1, som vi installeret på vores mdt server i artikel 15 i denne serie.for at gøre det, vi vil indføre microsoft sql - 2008 forvaltning studie udtrykke på en administrator arbejdsstation løber windows 7 og bruge den til at yde de nødvendige rettigheder til vores contoso. mdt_build konto.microsoft sql - 2008 forvaltning studie udtrykke er en gratis downloade fra microsoft.,, begynde med dobbelt klikke på downloadede anlæg fil sqlmanagementstudio_x64_enu.exe.det her er en advarsel, dialog, som du skal til at installere service - pakning 1 bagefter (figur 1):,,,,, figur 1, 1. trin af sql - 2008 forvaltning studie udtrykker, at løbe program åbner sql - anlæg centrum (figur 2):,,,,, figur 2. trin 2:, at installere sql - 2008 forvaltning studie udtrykker, klik anlæg til venstre for at vise de anlæg valgmuligheder (figur 3):,,,,, figur 3, trin 3 af sql - 2008 forvaltning studie udtrykker, at den første løsning på denne side kan fælde støtte regler for at kontrollere de installerer kan fortsætte (figur 4):,,,,, figur 4, løntrin 4 af sql - 2008 forvaltning studie udtrykker, den næste skærm viser, at ingen vare kde er nødvendig for at installere (figur 5):,,,,, figur 5:, løntrin 5 af sql - 2008 forvaltning studie udtrykker, at acceptere eula næste, så klik installere.den fælde støtte regler er monteret (figur 6):,,,,, figur 6, trin 6 af sql - 2008 forvaltning studie udtrykker på træk udvælgelse side, sikre forvaltning studie – grundlæggende er udvalgt (figur 7):,,,,, fig. 7:, trin 7 af sql - 2008 forvaltning studie udtrykker, gå gennem de resterende foranstaltninger, indtil de installere er komplet (figur 8):,,,,, fig. 8:, trin 8 af sql - 2008 forvaltning studie udtrykker, downloade sql - 2008 service - pakning 1 og double-click på anlægget fil sqlserver2008sp1-kb968369-x64-enu begynde monteringen.endnu en gang sql - anlæg center er udstillet, og efter at klikke på den første mulighed velkommen side vises og fælde støtte regler løb (figur 9):,,,,, fig. 9:, at installere sql - 2008 service - pakning 1, fortsættes gennem installation af sp1 acceptere alle de misligholdelser, indtil service - pakke er blevet installeret.,, konfigureringen af adgangsrettigheder med sql server forvaltning atelier, lad os bruge sql - studie for at få passende forvaltning database adgang til contoso. mdt_build konto.først ved at iværksætte sql server forvaltning studie fra starten menu (figur 10):,,,,, figur 10: iværksætte sql server forvaltning studie,, når de forbindes til server dialog lader gå autentificering metode på vinduer autentificering (figur 11):,,,,, figur 11:, - servere, dialog, og klik, - - og så klik gøre navn område mere (figur 12):,,,,, figur 12: udvælgelse af serveren navn, når browse for servere dialog viser de tilgængelige sql servere, udvælge lokale eksempel sqlexpress, som er monteret på din mdt server (figur 13):,,,,, figur 13:, udvælge lokale eksempel sqlexpress, klik ok at lukke browse for servere dialog og vende tilbage til opkobling til server dialog.den instans sqlexpress vises som sql - navn (figur 14):,,,,, fig. 14:, f.eks sqlexpress er valgt som sql - navn, at forbinde årsager sql server ledelse til at forbinde de sqlexpress eksempel på din mdt server og åbner microsoft sql server forvaltning studie konsol (fig. 15):,,,,, fig. 15:, microsoft sql server forvaltning studie konsol, i forvaltningen studie kan udvide sikkerhed og så right-click på logins og udvælge nye login fra genvej menu (figur 16):,,,,, figur 16:, at skabe en ny login for sql server, om de generelle side af login – nye replikker, klik eftersøgnings - og udvælge de contoso. mdt_build til aktive fortegnelse.når dette er gjort, konto vil vises i login navn inden for denne side.desuden ændrer misligholdelse database om nederst på side fra mester til at mdt (siden mdt var det navn, vi gav vores database, da vi skabte det tilbage i artikel 15 i denne serie).den generelle side af login – nye dialog bør nu ligner fig. 17:,,,,, fig. 17: general side efter indstillinger er blevet konfigureret, ikke foretage nogen ændringer til server roller side.for brugeren konverteringer side, udvælge afkrydsningsfelt for mdt, så tryk på knappen og tilføje contoso. mdt_build som bruger tildeles det ind.så vælg afkrydsningsfelt for db_datareader at tildele db_datareader faste database rolle til contoso. mdt_build konto (figur 18):,,,,, fig. 18:, idet db_datareader faste database rolle for mdt til contoso. mdt_build, da medlemmer af db_datareader faste database rolle kan læse alle data fra alle bruger tabeller det ovenstående kan målet computere adgang til customizations i din mdt database., ikke foretage ændringer i de resterende to sider (securables og status) af login – nye replikker.du okay viser den nye adgangskode du skabte (figur 19):,,,,, fig. 19:, hensyn til contoso. mdt_build har fået læst adgang til deres mdt database, kan du bruge mdt database igen at anvende windows 7 i en differentieret måde, at målet computere som beskrevet i tidligere artikel i denne serie.tip:,,,,,, hvis du har brug for at give flere brugerkonti, adgang til de mdt database, du kan skabe en sikkerheds - gruppe til at indeholde disse regnskaber og så bruge den ovennævnte procedure til at tildele db_datareader faste database rolle i gruppen.tip:,,,,, for yderligere oplysninger om sql - database niveau roller, se denne side om msdn.,, der udfører område tilslutter sig sikkert, lad os afslutte med at tage fat på spørgsmålet om mdt_join konto, som vi har anført i customsettings.ini, og som anvendes af mdt at tilslutte sig målet edb - området.hvis vi lader denne konto som en almindelig område bruger, mdt vil være i stand til at deltage i de første få computere har på området, men så vil undlade at tilslutte sig nogen andre.det er på grund af misligholdelse en brugerkonto, der tilhører den bekræftede brugere indbygget identitet (f.eks. mdt_join) har også arbejdsstationer til et område, bruger ret, der er tillagt den, hvilket betyder den konto, kan skabe op til 10 edb - regnskaber i det område.så hvis du er kun anvender 10 computere, du er heldig.på anden måde, til at udføre dit domæne bliver sikkert du kan vælge en af følgende veje at gå:,,, metode 1 -, få din mdt_join hensyn til et medlem af det område admins gruppe.fjern derefter den domainadminpassword = < password > linje fra din customsettings.ini fil.resultatet vil være, at din lite røre har ikke længere vil være fuldstændig automatisk, og du bliver nødt til at gå til hver maskine og type i kodeordet til din mdt_join hensyn til, når ud til denne (ingen kigger dig over skulderen, når du gør det.mere besværligt, men mere sikker.,,, metode 2 -, få din mdt_join hensyn til et medlem af det område admins gruppe, ikke foretage ændringer i deres customsettings.ini fil, og ignorere de sikkerhedsmæssige følger, at området med akkreditiver er fremsendt i klar tekst via nettet (og er midlertidigt oplagret i uforståelig form på hver target - computer i installation).hvis du vælger denne fremgangsmåde, det ville være bedst at gøre deres anvendelse på en weekend, eller om aftenen, når andre ikke er her.for ekstra sikkerhed, ændre kodeord for din mdt_join umiddelbart efter du er færdig med din indsættelse.glem ikke at ændre kodeord i begge aktive register og i deres customsettings.ini fil.,,, metode 3 -, få din mdt_join hensyn til et medlem af det område admins gruppe.udelade hele område med afsnit (fire linjer) i deres customsettings.ini fil.så i anvendelse her åbne egenskaber af opgave sekvens, du bruger, udvælger os info regning, og klik edit unattend.xml åbne svar fil mdt bruger for at indsætte vinduer med denne opgave sekvens.i er forbi, udvide microsoft windows unattendedjoin komponent og skabe de nødvendige rammer for identifikation og kvalifikationer til at tilslutte sig målet edb - området.den kode, du angive området med hensyn hertil vil være uforståelig, men ikke krypteret, og unattend.xml fil bliver skjult på målet computer alligevel under indsættelsen, så denne fremgangsmåde giver ikke anvendelse mere sikre.,,, 4 -, udelade hele område med afsnit (fire linjer) i deres customsettings.ini fil og send dine mål computere i en arbejdsgruppe i stedet for et område.så slutte sig til maskiner til området på et senere tidspunkt, enten ved at gøre det manuelt på hver maskine (hvis du kun anvendes en halv snes computere) eller ved at køre med en, netdom, manuskript med koncernens politik (hvis de har masser af computere) eller ved en anden metode.,,, metode 5 - give de relevante tilladelser for mdt_join hensyn til at oprette og ajourføre edb - regnskaber i active directory.denne metode gør det muligt for dem at forlade mdt_join konto som en almindelig område brugere konto, som løser vores sikkerhedsproblemer, men det kræver et omhyggeligt arbejde for at gennemføre.kort sagt, de trin, du skal udføre, er som følger:,,, åbne active directory brugere og computere konsol.vælg den opfattelse, menu, så greb om avancerede funktioner.skabe en organisatorisk enhed (f.eks deployedcomputers), som vil indeholde de edb - regnskaber for nyligt udsendt computere.- det behøver du ikke at ændre de tilladelser, om misligholdelse computere container.), åbne egenskaber af deployedcomputers ou og udvælge sikkerhed regning.og klik, avanceret til at åbne den avancerede sikkerhedsindstillinger dialog for dig.og klik, tilføje og tilføje et es til din mdt_join tages hensyn til acls for dig.i den tilladelse, adgang til dialog, tildele give tilladelser (med rammerne til dette formål, og alle efterkommer objekter) som følger:, · oprette edb - objekter, · slette edb - objekter, klik så klik tilføje igen og tilføje en anden ace til din mdt_join konto, der giver mulighed for tilladelser (anvendelsesområde, der efterkommer computer objekter), som følger: · læse alle egenskaber, · skrive alle de egenskaber, · læse tilladelser, · skrive tilladelser, · ændre kodeord, · nulstille kodeord, · validerede skrive til dns vært navn, · validerede skrive til tjeneste vigtigste navn, klik ikke gentagne gange at lukke alle åbne dialoger.,,, din mdt_join hensyn bør nu være i stand til at skabe nyeedb - regnskaber og ajourføre disse konti, som er nødvendig, selv om mdt_join ikke er medlem af det område admins gruppe.endelig, med henblik på at automatisere område tilslutter sig ved hjælp af mdt, du skal bruge for at tilføje følgende linje til din customsettings.ini fil:,, machineobjectou = ou = deployedcomputers, dc = contoso, dc = kom, en indflyvning, du kunne følge vil være at bære alle de klient computere på deres produktion netværk til din sikre laboratorium, anvende vinduer på dem, og så tage dem tilbage i de kontorer, hvor de hører til.hvis du beslutter dig for denne tilgang, men pas på ikke at skade dig.,,,