,,,,,, tip: du kan finde flere oplysninger om automatisering af lti indsættelse i vinduerne 7 ressource kit fra microsoft presse.jeg er hovedforfatteren til denne ressource - og jeg fastholder også de uofficielle støtte sted til windows 7 ressource kit med svar på spørgsmål stillet af læserne samt links til de seneste ressourcer på windows 7 anvendelse, administration og problemløsning.prøvelse i bootstrap.ini,,,, jeg vil vende tilbage til at forklare, hvordan man konstruerer og anvende mdt database, hurtigt, men på dette punkt vil jeg gerne komme ind på spørgsmålet om mdt sikkerhed.så langt i denne række af artikler om indsættelse af windows 7, vi ikke har været meget bekymret for sikkerheden.f.eks. bootstrap.ini fil, vi har brugt i vores indsættelse andel i disse artikler ser sådan ud:,,, [indstillinger] prioriteret = forvalgt værdi [misligholdelse], deployroot = ¶ ¶ ¶ sea-dc1 deploymentshare $, brugeridentifikation = administrator, userdomain = contoso, userpassword = pa $w0rd, keyboardlocale = en os, skipbddwelcome = ja,,, brugerkonto angivet af brugeridentifikation, userpassword og userdomain egenskaber i bootstrap.ini anvendes ved vinduerne indsættelse troldmand ved målet computer forbundet med indsættelse andel på mdt server og få adgang til indholdet af denne del.vi har indtil nu været ved at bruge standard administrator hensyn i forbindelse med dette formål.der er to årsager til, at dette ikke er en god idé.,,, hvis du sætter din lite rør (lti) indsættelse manuelt af starter dit mål computere med din litetouchpe cd, du skal være klar over, at din bootstrap.ini sag faktisk er til stede på denne cd.se det her, så lad os begynde med at undersøge indholdet af en litetouchpe cd i vinduerne explorer (figur 1):,,,,, figur 1, indholdet af en litetouchpe cd som vist i vinduer explorer, og konstaterer, at de fleste af cd, består af en vinduer image fil boot.wim, som findes i det kilder mappe på din cd.(de) støvle folder indeholder kun nogle filer, der anvendes for at gøre det muligt for cd - og mount billedet). lad os sige, du glemte din litetouchpe cd liggende, og nogen har stjålet det.tyven kan installere ruder aik 2.0 på en computer, og på boot.wim fil på cd 'en til en tom mappe med imagex kommando som følger (figur 2):,,,,, figur 2:, montere boot.wim fil fra et litetouchpe cd, når boot.wim fil er fastgjort til tom mappe (her, der hedder c:. pebootfiles) tyv så kunne tage indholdet af den monterede image ved hjælp af vinduer explorer (figur 3):,,,,, figur 3:, din bootstrap.ini fil er til stede i boot.wim fil af din litetouchpe cd, tyv så kunne åbne bootstrap.ini i blok (figur 4).,,,,, figur 4, det bootstrap.ini fil indeholder administrative kvalifikationer for dit domæne!,, på dette punkt hele jeres vinduer infrastruktur er blevet kompromitteret da tyven har opnået område admins akkreditiver.så, hvis du skal bruge område admin mandat i din bootstrap.ini fil, du skal beskytte din litetouchpe cd (eller dvd eller usb - nøgle, afhængigt af boot medier, du bruger til at indlede lti anvendelse).med andre ord, lad ikke uautoriserede personer har adgang til medierne.den anden sikkerhed, vedrører transmission af mandaterne i nettet.når du støvle et mål, edb - ind ad vinduerne pe med din litetouchpe støvle medier, edb - typisk erhverver en ip - fra en dhcp - server og forsøger at etablere en forbindelse med indsættelsen andel på din mdt server.nu, hvis du bruger mdt i en ny computer scenario (dvs. at udføre et lille metal anvendelse på et mål, en computer, som i øjeblikket ikke har nogen operativsystemet) så kerberos eller ntlm autentificering anvendes til sikkert bestå valgs prøvelse er angivet i bootstrap.ini fil fra målet computer til mdt server, og nogen - netværket vil ikke være i stand til at stjæle disse papirer.men hvis du bruger mdt i en opfriskning edb - scenario (dvs. at image en eksisterende edb - og redde /genoprette bruger statslig information) og bootstrap.ini forarbejdes efter indsættelsen andel og valgs prøvelse er blevet over nettet i klar tekst.det betyder, at nogen - nettet i dette scenario kunne stjæle de papirer, der er anført i bootstrap.ini, og hvis de er tilgængelige admins akkreditiver, så jeres netværk er kompromitteret.og, selvfølgelig, hvis du bruger mdt i en test, miljø eller i en sikker laboratorium, der svarer til deres produktion - nettet, men har et andet område, så er det i orden at forlade misligholdelse administrator tegner sig for det område, bootstrap.ini som vist i figur 4.hvis du bruger mdt i produktionen, miljø, men du har sikkert ikke lyst til at gøre det.vi vil se en mulig løsning på dette spørgsmål om et øjeblik.prøvelse i customsettings.ini,,,, det andet sted akkreditiver er specificeret i mdt er i customsettings.ini fil for deres anvendelse.navnlig følgende del af en customsettings.ini fil anvendes til at automatisere processen med target - computere til området under den sidste fase af indsættelse:,,, joindomain = contoso, domainadmin = administrator, domainadmindomain = contoso, domainadminpassword = pa $w0rd, bemærke, at vi har brugt samme højde (contoso en administrator) i disse artikler til både bootstrap.ini (for at muliggøre målet computer adgang til indsættelsen andel) og customsettings.ini (til at tilslutte sig målet edb - området, når de installere har afsluttet).nu er din customsettings.ini dossier ikke er til stede på din litetouchpe støvle medier, din boostrap.ini fil, så det er ikke et problem.men i alle scenarier, hvor automatisk område med indsættelsen i ovennævnte oplysninger, der er indeholdt i customsettings.ini sendes via nettet af mdt server til target - maskine i klar tekst.det betyder, at hvis man bruger en område med hensyn til admins automatisk anvendes computere til deres område, en til dit netværk, let kan bringe sikkerheden i hele deres net.problemet er imidlertid, at generelt admin niveau akkreditiver er påkrævet, hvis du ønsker at slutte sig til en computer til et område.der er nogle workarounds til dette spørgsmål, men som vi vil kort.endnu en gang, men hvis du bruger mdt i en test, miljø eller i en sikker laboratorium, kan du forlade misligholdelse administrator tegner sig for det område, customsettings.ini som vist ovenfor, ved hjælp af særskilt bygge - og slutte sig til regnskab, hvis vi skal bruge vores mdt server til at indsætte vinduer i produktion, miljø, den første ting, vi kan gøre, for at mdt mere sikre, er at bruge separate brugerkonti i tilslutning til indsættelsen andel og for at tilslutte sig computere til området.i dette eksempel, vi vil skabe to nye brugerkonti:,,,, mdt_build, denne "bygge" konto vil blive anvendt til at gøre målet computere til at forbinde vores indsættelse andel.,, mdt_join, denne "med" konto skal anvendes til automatisk at tilslutte sig målet computere til området som indsættelsen proces er færdig om computere.,, når man skaber disse regnskaber i active directory brugere og computere, de er automatisk tildelt medlemskab inden brugergrupper.lad det blive ved, at der for øjeblikket ikke tilføje disse konti i det område admins gruppe.,, lad os undersøge acls med vores indsættelse andel.figur 5 viser, at brugere - gruppen om mdt server, som omfatter området brugere gruppe som et medlem, der har læst & fuldbyrde tilladelse på andel:,,,,, figur 5: banen af brugerne - gruppen til deployering andel, hvis du bruger denne deployering andel er for installation vinduer på målet computere, så læs & fuldbyrde tilladelse er tilstrækkelig, for den giver mål computer til at læse dokumenter, der er indeholdt i den andel, og løb manuskripter og programmer i dele.med andre ord, vores bygge konto, der er angivet i bootstrap.ini, kan være et enkelt område brugere konto, det behøver ikke at være et område, admins konto.det er gode nyheder!så lad os gå videre og ændre den konto, der er angivet af brugeridentifikation ejendom i vores bootstrap.ini fil fra administrator mdt_build.når vi har gjort det, vores nye bootstrap.ini fil ligner fig. 6:,,,,, figur 6, bootstrap.ini nu angiver et område, brugerne, må vi ikke glemme, at når du ændrer din bootstrap.ini fil, du har brug for at opdatere deres indsættelse andel (figur 7):,,,,, fig. 7.:, altid opdatere deres indsættelse andel efter ændring af bootstrap.ini, og glem ikke, at efter ajourføring din indsættelse andel er du nødt til at brænde en ny litetouchpe cd - da bootstrap.ini fil er med på det.og så langt, så godt.nu er spørgsmålet om at benytte med hensyn til er en smule mere kompliceret, så kommer vi til senere.i mellemtiden, er jeg nødt til at nævne, at de ændringer, de har gjort i deres bootstrap.ini fil har brækket noget, hvis du nu prøve og få din mdt database til at indsætte vinduer forskelligt for forskellige computere baseret på computer er uuid, mac - adresse, eller anden maskine ejendom som beskrevet ovenfor i del 16 og 17 i dette - serien, - - vil du opdage, at det fungerer ikke længere.du vil være i stand til at indsætte windows 7 med mdt, men customizations du har angivet i mdt database vil ikke blive anvendt, og målet computer vil ikke tiltræde område enten).du kan se en fejlmeddelelse vises ved afslutningen af etablerings - proces, men enten måde, hvis du senere undersøge bdd.log i% windir%) vikar. deployering kævler mappe på en indsat mål computer, vil du se følgende fejl:,,, zti fejl åbning sql forbindelse: kan ikke åbne database "mdt" på anmodning af adgangskode.login mislykkedes.(- 2147467259), vil vi se, hvordan til at løse dette spørgsmål i den næste artikel i denne serie, hvor vi vil også undersøge spørgsmålet om sikkerhed i området samt.,,,