Compte administrateur du domaine verrouillé lors d'un déploiement WDS/MDT

Signaler
-
Messages postés
118
Date d'inscription
mardi 11 décembre 2018
Statut
Membre
Dernière intervention
18 septembre 2020
-
Bonjour,

J'ai mis en place il y a deux-trois mois un service de déploiement WDS/MDT dans mon entreprise. Rien de particulièrement il s'agit d'une image Windows 10 accompagné des outils standards utilisés par les employé.e.s de l'entreprise. Le PC est intégré dans le domaine dès le début du déploiement

Cependant lorsque le déploiement de l'image est terminée, le PC redémarre et ouvre automatiquement une session "administrateur" (local) pour terminer la task sequence (notamment l'installation de certains programmes qu'on ne peut intégrer dans l'image type VPN & antivirus, des MAJ qualités manquantes, etc.). Et a priori cette étape verrouille le compte administrateur du domaine... parce que les administrateurs me contactent en me communicant le nom du PC qui a verrouillé le compte en tentant de s'authentifier. Et c'est toujours le PC (ou l'un des PC) qui est sur la table de déploiement.

Encore une fois, je n'ai pas fais de configuration alambiqué. Les besoins de mon entreprise ne requiert pas ou peu de customisation. Mes taks sequences sont peu modifiées (injection des drivers, installations d'applications complémentaires et MAJ Windows, je n'y touche pas plus).

J'ai cherché dans le Unattend.xml la manière dont se loguait le compte administrateur. Il y a donc l'autologon avec le compte "Administrator" sur le domaine "." Si je ne me trompe pas, le "." désigne bien la machine locale.

Il vaudrait mieux pouvoir se passer de ce compte là (au mieux qu'il n'existe pas). J'ai déjà tenté de modifier ce fichier pour le faire autologuer dans le compte administrateur local créé manuellement dans l'image (et qui existe bien, il n'a pas été effacé) mais dans ce cas c'est la task sequence qui ne se termine pas une fois la session ouverte.

Auriez vous une idée : soit d'une modification a faire pour éviter les tentatives de logs du compte administrateur (sans renoncer à faire rentrer automatiquement les PC dans le domaine) ; soit en se passant de ce compte sur les phases après installation de la task sequence.

Merci.

PS : je n'ai pas d'indication sur le moment où le poste tente de s'authentifier sur le compte admin du domaine étant donné que je ne reçois l'information, transmise par les administrateurs que plus tard.

Configuration: Windows Serveur 2016 / Windows 10 1909

4 réponses

Messages postés
38037
Date d'inscription
jeudi 4 avril 2002
Statut
Modérateur
Dernière intervention
28 septembre 2020
1 851
bonjour

Il est important d'utiliser d'autres comptes que l'admin du domaine ...

Un compte spécifique destiné à joindre le domaine, agir sur les objets AD.
un exemple ici

https://www.tech2tech.fr/mdt-creer-et-configurer-un-utilisateur-pour-joindre-les-ordinateurs-au-domaine/

article à lire

https://docs.microsoft.com/en-us/windows/deployment/deploy-windows-mdt/deploy-a-windows-10-image-using-mdt



Messages postés
118
Date d'inscription
mardi 11 décembre 2018
Statut
Membre
Dernière intervention
18 septembre 2020
8
Salut,
le autologon est annulé par le customconfig et les scripts ZTI, tu as fait une erreur quelque part dans l'installation ou dans le bootstrat, meme si je soupçonne une application mal ajouté.
j'ai écris récemment un bouquin gratuit sur MDT/WDS si tu es intéressé
Bonjour.

Désolé de répondre si tardivement. Mais je dispose d'assez peu de temps et j'ai pu avancer sur ce projet grâce au confinement (donc par le retrait de mes tâches ordinaires).

Je comprends bien qu'il ne faut pas utiliser le compte de domaine. Ce n'est pas une bonne pratique. Je n'en ai d'ailleurs pas les accès, et les admins de l'infra système et réseaux ont établis des règles clairs sur l'usage de comptes admin individualisés.

Au niveau du processus de déploiement, je rentre manuellement mon compte admin pour accéder aux ressources du partage MDT ainsi que pour l'entrée dans le domaine (et j'ai refusé d'automatiser la saisie des id/mdp car on est appelé à en changer tous les 2 mois, et à terme je ne serais pas tout seul à l'utiliser).

J'ai fais peu de customisation de la task sequence. Je me suis contenté simplement de pointer sur un profil de drivers pour leur installation complète ainsi que l'installation d'applications supplémentaires dans la séquence "state restore".

J'avais déjà fait une recherche pour me passer de ce compte administrateur local (parce que c'est bien la seule chose qui pourrait expliquer ce verrouillage mystérieux). Je veux bien entendre avoir mal cherché, mais le mieux que j'ai trouvé pour une personne qui souhaite ne pas laisser un PC avec cette session ouverte en fin de déploiement c'est d'utiliser un LOGOFF dans le CustomSetting.ini (qui ferme simplement la session une fois ces installations faites).

J'ai tenté d'appliquer l'autologon sur un autre compte, un compte local de service ayant les droits admin et intégré dans l'image, mais la fin des tâches de déploiements de cette séquence "State restore" ne se lance pas. J'ai été obligé d'ouvrir le compte administrateur local du PC pour que cette fin s'exécute.

Merci à vous.
Messages postés
118
Date d'inscription
mardi 11 décembre 2018
Statut
Membre
Dernière intervention
18 septembre 2020
8
Pour fermer ou redémarrer la session une fois l'installation est terminé, utilises la variable reboot dans finish de customsettings.