我已经在工作场所部署了 MDT 进行成像。作为部署过程的一部分,我已将文件customsettings.ini
设置为加入我们的域。系统提示技术人员输入其管理凭据,并且已设置了适当的 OU 和域。
一切运行良好,机器映像正确,绑定到域并安装所有软件。但是,在与我们的域管理员交谈时,每次我们对系统进行映像时,AD\Administrator 用户帐户都会自动锁定。据我们所知,似乎 MDT 目标系统上使用的本地“管理员”帐户正在尝试使用 AD\Administrator 帐户(而不是本地管理员帐户)本地登录或访问网络资源。
我已进入unattend.xml
文件并专门设置登录用户设置以使用“。”域,但问题仍然存在。但是,如果我们跳过加入域并让系统加入“WORKGROUP”,问题就会消失。我检查了 MDT 在目标系统上创建的各种日志文件,没有发现任何明显的迹象表明为什么会这样。它发生在所有任务序列中。
有没有人有什么建议?
答案1
首先,停止使用 AD\Administrator 帐户。这样的共享帐户完全是个坏主意。每个需要域管理员访问权限的人都应该有一个单独的帐户,专门用于执行域管理员事务。为 MDT 创建一个服务帐户。它甚至不必是域管理员。它所需要做的就是将计算机加入域。您可以在 customsettings.ini 或 mdt 数据库中进行设置。
DomainAdmin = DeploymentAccount
DomainAdminDomain = Domain.local
DomainAdminPassword = S@msFantas1cP0rkSh0p
JoinDomain = Domain.local
MachineObjectOU = ComputerDeploymentOU
为了避免授予我的部署帐户域管理员权限,我创建了一个部署团队组。添加该帐户以及需要访问部署的技术人员,并授予其从要部署的 OU 添加/删除计算机的权限。当您去部署计算机时,它应该可以毫无问题地添加到该 OU。如果您想要更多的控制权,您也可以预先创建计算机帐户。要做到这一点,只需右键单击 OU,选择新建->计算机。然后在计算机对象创建屏幕中将用户或组更改为您的部署团队。我喜欢这样做,因为它可以让我更好地规划我的部署。这应该可以解决您在使用该帐户时遇到的锁定问题。如果您仍然被锁定,那么是时候深入挖掘了。至少这样您可以确定您的部署不是原因。