Triển khai Windows 7 – Phần 21: Bảo mật MDT (2) Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạn các bước tiếp theo để bảo mật môi trường triển khai MDT. Mẹo: Bạn có thể tìm kiếm thêm thông tin về việc tự động triển khai LTI trong Windows 7 Resource Kit của Microsoft. Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn các vấn đề bảo mật có liên quan đến hai tài khoản người dùng được sử dụng bởi MDT:  Một tài khoản được chỉ định trong file Bootstrap.ini và được sử dụng bởi các máy tính mục tiêu để kết nối đến deployment share trên MDT server  Một tài khoản được chỉ định trong file CustomSettings.ini và được sử dụng bởi các máy tính mục tiêu để join vào miền khi hoàn tất cài đặt. Chúng tôi đã giới thiệu sơ qua rằng trong môi trường lab đơn giản, bạn hoàn toàn có thể sử dụng tài khoản Administrator mặc định cho miền với cả hai mục đích này. Mặc dù vậy, với các lý do về bảo mật trong môi trường sản xuất, chắc chắn bạn sẽ muốn sử dụng các tài khoản riêng biệt cho mỗi một mục đích, tốt nhất là các tài khoản Domain Users thông thường thay vì các tài khoản Domain Admins. Vì vậy những gì chúng tôi đã thực hiện trong phần trước là tạo hai tài khoản Domain Users mới: mdt_build cho file Bootstrap.ini và mdt_join cho file CustomSettings.ini. Sau khi thực hiện, chúng ta đã nâng cấp deployment share của mình vì file Bootstrap.ini đã thay đổi, tiếp đó đã burn file kết quả LiteTouchPE_x64.iso vào CD. Nếu chúng ta khởi động các máy tính mục tiêu của mình bằng CD này thì MDT sẽ triển khai Windows 7, tuy nhiên bất cứ tùy chỉnh nào được đưa vào cơ sở dữ liệu MDT đều sẽ không được áp dụng và lỗi SQL Connection sẽ xuất hiện. Vấn đề ở đây là tài khoản mới của chúng ta CONTOSO\mdt_build không được phép truy cập cơ sở dữ liệu MDT bằng Windows Integrated Security. Chính vì vậy trong phần này chúng tôi sẽ giới thiệu cho các bạn cách giải quyết vấn đề SQL này và sẽ giới thiệu cách bảo vệ domain-join của bạn được an toàn. Cài đặt SQL Server Management Studio Để thay đổi quyền truy cập vào cơ sở dữ liệu MDT trên máy chủ SQL của mình, chúng ta có thể sử dụng SQL Server Management Studio. Trong loạt bài này, chúng ta đang sử dụng SQL Server 2008 Express Edition SP1 đã được cài đặt trên máy chủ MDT trong phần 15 . Để thực hiện, chúng ta sẽ cài đặt Microsoft SQL Server 2008 Management Studio Express trên máy trạm quản trị viên đang chạy Windows 7 và sử dụng nó để cấp các quyền cần thiết cho tài khoản CONTOSO\mdt_build của mình. Bạn có thể download Microsoft SQL Server 2008 Management Studio Express tại đây (đó là một phát hành miễn phí của Microsoft). Bắt đầu bằng cách kích đúp vào file cài đặt SQLManagementStudio_x64_ENU.exe. đã download được, khi đó bạn sẽ thấy một hộp thoại cảnh báo xuất hiện và cần cài đặt Service Pack 1 (hình 1): Hình 1: Bước 1 trong quá trình cài đặt SQL Server 2008 Management Studio Express Kích Run Program để mở SQL Server Installation Center (hình 2): Hình 2: Bước 2 trong quá trình cài đặt SQL Server 2008 Management Studio Express Kích Installation ở bên trái để hiển thị các tùy chọn cài đặt (hình 3): Hình 3: Bước 3 trong quá trình cài đặt SQL Server 2008 Management Studio Express Kích tùy chọn đầu tiên trong trang này sẽ khởi chạy Setup Support Rules để thẩm định xem cài đặt có thể tiến hành hay không (hình 4): Hình 4: Bước 4 trong quá trình cài đặt SQL Server 2008 Management Studio Express Màn hình tiếp theo chỉ thị rằng không yêu cầu khóa sản phẩm trong quá trình cài đặt (hình 5): Hình 5: Bước 5 trong quá trình cài đặt SQL Server 2008 Management Studio Express Nhấn Next, sau đó kích Install. Setup Support Rules sẽ được cài đặt (hình 6): Hình 6: Bước 6 trong quá trình cài đặt SQL Server 2008 Management Studio Express Trong trang Feature Selection, cần bảo đảm tùy chọn Management Studio – Basic được chọn (hình 7): Hình 7: Bước 7 trong quá trình cài đặt SQL Server 2008 Management Studio Express Tiếp tục thông qua các bước còn lại cho tới khi cài đặt hoàn tất (hình 8): [...]... này bạn có thể sử dụng cơ sở dữ liệu MDT lần nữa để triển khai Windows 7 dưới kiểu dáng đã được tùy chỉnh đến các máy tính mục tiêu như được mô tả trong phần trước của loạt bài này Mẹo: Nếu cần cho phép nhiều tài khoản người dùng truy cập vào cơ sở dữ liệu MDT, bạn có thể tạo một nhóm bảo mật cho các tài khoản nào đó, sau đó sử dụng thủ tục trên để gán role cơ sở dữ liệu đã được sửa db_datareader cho... một buổi tối khi không có ai xung quanh Tuy nhiên để tăng bảo mật, bạn cần thay đổi mật khẩu cho tài khoản mdt_ join của mình ngay sau khi kết thúc triển khai Không được thay đổi mật khẩu trong Active Directory và file CustomSettings.ini Phương pháp 3: Biến tài khoản mdt_ join của bạn trở thành thành viên của nhóm quản trị miền Bỏ qua toàn bộ phần domain-join (4 dòng) trong file CustomSettings.ini Trong... mà MDT sử dụng cho việc triển khai Windows bằng chuỗi nhiệm vụ này Mở thành phần Microsoft-WindowsUnattendedJoin và cấu hình các thiết lập cần thiết trong Identification và Credentials để join máy tính mục tiêu vào miền Mật khẩu mà bạn chỉ định cho tài khoản domain-join ở đây sẽ được làm khó hiểu nhưng không được mã hóa, file unattend.xml sẽ được lưu trên máy tính mục tiêu trong quá trình triển khai, ... sử dụng Group Policy (nếu có rất nhiều máy cần triển khai) , hay bằng một số phương pháp khác Phương pháp 5: Cấp các điều khoản thích hợp cho tài khoản mdt_ join để tạo và nâng cấp các tài khoản máy tính trong Active Directory Phương pháp này cho phép bạn đặt tài khoản mdt_ join là một tài khoản Domain Users thông thường, cho phép giải quyết các vấn đề bảo mật, tuy nhiên nó đòi hỏi phải cẩn thận trong... về các role mức cơ sở dữ liệu của SQL Server, bạn có thể tham khảo thêm tại đây Thực hiện Domain-Join an toàn Chúng tôi sẽ kết thúc vấn đề bảo mật MDT bằng cách đề cập đến vấn đề của tài khoản mdt_ join đã được chỉ định trong file CustomSettings.ini và được sử dụng bởi MDT để join máy tính mục tiêu vào miền Nếu chúng ta để tài khoản này là một Domain User thông thường thì MDT sẽ vẫn có khả năng join... chọn hộp kiểm cho MDT, sau đó kích nút Add và thêm CONTOSO \mdt_ build vào với tư cách người dùng được bản đồ hóa cho đăng nhập này Sau đó chọn hộp kiểm cho db_datareader để gán role cơ sở dữ liệu đã được sửa db_datareader cho tài khoản CONTOSO \mdt_ build (hình 18): Hình 18: Gán role cơ sở dữ liệu đã sửa db_datareader cho MDT thành CONTOSO \mdt_ build Do các thành viên của role cơ sở dữ liệu đã được sửa... các dữ liệu từ tất cả các bảng người dùng, hành động ở trên sẽ cho phép các máy tính mục tiêu của bạn có thể truy cập các tùy chỉnh trong cơ sở dữ liệu MDT Không tạo bất cứ thay đổi nào với hai trang còn lại (Securables và Status) trong hộp thoại Login – New Kích OK để hiển thị đăng nhập mới mà bạn đã tạo (hình 19): Hình 19: Tài khoản CONTOSO \mdt_ build đã được phép truy cập vào cơ sở dữ liệu MDT Lúc... General của hộp thoại Login – New, kích Search và chọn tài khoản CONTOSO \mdt_ build từ Active Directory Khi thực hiện xong, tài khoản này sẽ được hiển thị trong trường Login Name của trang này Thêm vào đó, thay đổi thiết lập Default Database ở phía dưới trang từ master thành MDT Trang General của hộp thoại Login – New lúc này sẽ giống như những gì thể hiện trong hình 17: Hình 17: Trang General sau khi... triển khai, vì vậy phương pháp này tỏ ra không mấy an toàn cho triển khai của bạn Phương pháp 4: Bỏ qua toàn bộ phần domain-join (4 dòng) trong file CustomSettings.ini và triển khai các máy tính mục tiêu của bạn vào nhóm làm việc thay vì một miền Sau đó join các máy tính này vào miền bằng cách thực hiện thủ công với từng máy (nếu ban chỉ triển khai một số lượng hạn chế các máy tính) hoặc bằng cách chạy... dưới đây: Phương pháp 1: Biến tài khoản mdt_ join của bạn trở thành thành viên của nhóm quản trị miền Sau đó xóa dòng DomainAdminPassword = trong file CustomSettings.ini Kết quả thu được là cài đặt Lite Touch sẽ không tự động hoàn tất và bạn phải thực hiện thêm một số công việc trên mỗi máy, nhập vào mật khẩu cho tài khoản mdt_ join của mình khi được nhắc nhở (cần bảo đảm không có ai đứng sau . Triển khai Windows 7 – Phần 21: Bảo mật MDT (2) Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạn các bước tiếp theo để bảo mật môi. Tài khoản CONTOSO mdt_ build đã được phép truy cập vào cơ sở dữ liệu MDT Lúc này bạn có thể sử dụng cơ sở dữ liệu MDT lần nữa để triển khai Windows 7