Triển khai Windows 7 – Phần 21: Bảo mật MDT (2)

Chia sẻ: Thanh Cong | Ngày: | Loại File: PDF | Số trang:24

0
49
lượt xem
6
download

Triển khai Windows 7 – Phần 21: Bảo mật MDT (2)

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Triển khai Windows 7 – Phần 21: Bảo mật MDT (2) Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạn các bước tiếp theo để bảo mật môi trường triển khai MDT. Mẹo: Bạn có thể tìm kiếm thêm thông tin về việc tự động triển khai LTI trong Windows 7 Resource Kit của Microsoft. Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn các vấn đề bảo mật có liên quan đến hai tài khoản người dùng được sử dụng bởi MDT:  Một tài khoản được chỉ định trong file Bootstrap.ini và...

Chủ đề:
Lưu

Nội dung Text: Triển khai Windows 7 – Phần 21: Bảo mật MDT (2)

  1. Triển khai Windows 7 – Phần 21: Bảo mật MDT (2) Trong phần tiếp theo này, chúng tôi sẽ giới thiệu cho các bạn các bước tiếp theo để bảo mật môi trường triển khai MDT.
  2. Mẹo: Bạn có thể tìm kiếm thêm thông tin về việc tự động triển khai LTI trong Windows 7 Resource Kit của Microsoft. Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn các vấn đề bảo mật có liên quan đến hai tài khoản người dùng được sử dụng bởi MDT:  Một tài khoản được chỉ định trong file Bootstrap.ini và được sử dụng bởi các máy tính mục tiêu để kết nối đến deployment share trên MDT server  Một tài khoản được chỉ định trong file CustomSettings.ini và được sử dụng bởi các máy tính mục tiêu để join vào miền khi hoàn tất cài đặt. Chúng tôi đã giới thiệu sơ qua rằng trong môi trường lab đơn giản, bạn hoàn toàn có thể sử dụng tài khoản Administrator mặc định cho miền với cả hai mục đích này. Mặc dù vậy, với các lý do về bảo mật trong môi trường sản xuất, chắc chắn bạn sẽ muốn sử dụng các tài khoản riêng biệt cho mỗi một mục đích, tốt nhất là các tài khoản Domain Users thông thường thay vì các tài khoản Domain Admins. Vì vậy những gì chúng tôi đã thực hiện trong phần trước là tạo hai tài khoản Domain Users mới: mdt_build cho file Bootstrap.ini và mdt_join cho file CustomSettings.ini. Sau khi thực hiện, chúng ta đã nâng cấp deployment share của mình vì file Bootstrap.ini đã thay đổi, tiếp đó đã burn file kết quả LiteTouchPE_x64.iso vào CD. Nếu chúng ta khởi động các máy tính mục tiêu của mình bằng CD này thì MDT sẽ triển khai Windows 7, tuy nhiên bất cứ tùy chỉnh nào được đưa vào cơ sở dữ liệu MDT đều sẽ không được áp dụng và lỗi SQL Connection sẽ xuất hiện. Vấn đề ở đây là tài khoản mới của chúng ta CONTOSO\mdt_build không được phép truy cập cơ sở dữ liệu MDT bằng Windows Integrated Security. Chính vì vậy trong phần này chúng tôi sẽ giới thiệu cho các bạn
  3. cách giải quyết vấn đề SQL này và sẽ giới thiệu cách bảo vệ domain-join của bạn được an toàn. Cài đặt SQL Server Management Studio Để thay đổi quyền truy cập vào cơ sở dữ liệu MDT trên máy chủ SQL của mình, chúng ta có thể sử dụng SQL Server Management Studio. Trong loạt bài này, chúng ta đang sử dụng SQL Server 2008 Express Edition SP1 đã được cài đặt trên máy chủ MDT trong phần 15. Để thực hiện, chúng ta sẽ cài đặt Microsoft SQL Server 2008 Management Studio Express trên máy trạm quản trị viên đang chạy Windows 7 và sử dụng nó để cấp các quyền cần thiết cho tài khoản CONTOSO\mdt_build của mình. Bạn có thể download Microsoft SQL Server 2008 Management Studio Express tại đây (đó là một phát hành miễn phí của Microsoft). Bắt đầu bằng cách kích đúp vào file cài đặt SQLManagementStudio_x64_ENU.exe. đã download được, khi đó bạn sẽ thấy một hộp thoại cảnh báo xuất hiện và cần cài đặt Service Pack 1 (hình 1):
  4. Hình 1: Bước 1 trong quá trình cài đặt SQL Server 2008 Management Studio Express Kích Run Program để mở SQL Server Installation Center (hình 2):
  5. Hình 2: Bước 2 trong quá trình cài đặt SQL Server 2008 Management Studio Express Kích Installation ở bên trái để hiển thị các tùy chọn cài đặt (hình 3):
  6. Hình 3: Bước 3 trong quá trình cài đặt SQL Server 2008 Management Studio Express Kích tùy chọn đầu tiên trong trang này sẽ khởi chạy Setup Support Rules để thẩm định xem cài đặt có thể tiến hành hay không (hình 4):
  7. Hình 4: Bước 4 trong quá trình cài đặt SQL Server 2008 Management Studio Express Màn hình tiếp theo chỉ thị rằng không yêu cầu khóa sản phẩm trong quá trình cài đặt (hình 5):
  8. Hình 5: Bước 5 trong quá trình cài đặt SQL Server 2008 Management Studio Express Nhấn Next, sau đó kích Install. Setup Support Rules sẽ được cài đặt (hình 6):
  9. Hình 6: Bước 6 trong quá trình cài đặt SQL Server 2008 Management Studio Express Trong trang Feature Selection, cần bảo đảm tùy chọn Management Studio – Basic được chọn (hình 7):
  10. Hình 7: Bước 7 trong quá trình cài đặt SQL Server 2008 Management Studio Express Tiếp tục thông qua các bước còn lại cho tới khi cài đặt hoàn tất (hình 8):
  11. Hình 8: Bước 8 trong quá trình cài đặt SQL Server 2008 Management Studio Express Download SQL Server 2008 Service Pack 1 và kích đúp vào file cài đặt SQLServer2008SP1-KB968369-x64-ENU để bắt đầu quá trình cài đặt. Khi SQL Server Installation Center xuất hiện, kích vào tùy chọn đầu tiên, trang Welcome sẽ xuất hiện và Setup the Support Rules sẽ chạy (hình 9):
  12. Hình 9: Cài đặt SQL Server 2008 Service Pack 1 Thực hiện quá trình cài đặt SP1 bằng cách chấp nhận tất cả các tùy chọn mặc định cho tới khi gói dịch vụ được cài đặt hoàn tất. Cấu hình quyền truy cập bằng SQL Server Management Studio Chúng ta hãy sử dụng SQL Server Management Studio để cấu hình quyền truy cập cơ sở dữ liệu thích hợp cho tài khoản CONTOSO\mdt_build. Bắt đầu bằng cách khởi chạy SQL Server Management Studio từ menu Start (hình 10):
  13. Hình 10: Khởi chạy SQL Server Management Studio Khi hộp thoại Connect To Server xuất hiện, để phương pháp thẩm định (Authentication) là Windows Authentication (hình 11):
  14. Hình 11: Hộp thoại Connect To Server Kích trường Server Name và kích Browse For More (hình 12): Hình 12: Chọn tên máy chủ Khi hộp thoại Browse For Servers hiển thị các máy chủ SQL Server có sẵn, hãy chọn SQLEXPRESS nội bộ đã được cài đặt trên máy chủ MDT của bạn (hình 13):
  15. Hình 13: Chọn SQLEXPRESS nội bộ Kích OK để đóng hộp thoại Browse For Servers và trở về hộp thoại Connect To Server. Instance SQLEXPRESS sẽ được hiển thị với tư cách là tên của SQL Server (hình 14): Hình 14: Instance SQLEXPRESS được chọn làm tên của SQL Server Kích Connect sẽ làm cho SQL Server Management để kết nối với SQLEXPRESS instance trên máy chủ MDT và mở giao diện điều khiển Microsoft SQL Server Management Studio (hình 15):
  16. Hình 15: Giao diện Microsoft SQL Server Management Studio Trong giao diện điều khiển Management Studio, kích Security và kích phải vào Logins, chọn New Login (hình 16):
  17. Hình 16: Tạo đăng nhập mới cho SQL Server Trong trang General của hộp thoại Login – New, kích Search và chọn tài khoản CONTOSO\mdt_build từ Active Directory. Khi thực hiện xong, tài khoản này sẽ được hiển thị trong trường Login Name của trang này. Thêm vào đó, thay đổi thiết lập Default Database ở phía dưới trang từ master thành MDT. Trang General của hộp thoại Login – New lúc này sẽ giống như những gì thể hiện trong hình 17:
  18. Hình 17: Trang General sau khi các thiết lập được cấu hình Không thực hiện bất cứ thay đổi nào trong trang Server Roles. Trong trang User Mappings, chọn hộp kiểm cho MDT, sau đó kích nút Add và thêm CONTOSO\mdt_build vào với tư cách người dùng được bản đồ hóa cho đăng nhập này. Sau đó chọn hộp kiểm cho db_datareader để gán role cơ sở dữ liệu đã được sửa db_datareader cho tài khoản CONTOSO\mdt_build (hình 18):
  19. Hình 18: Gán role cơ sở dữ liệu đã sửa db_datareader cho MDT thành CONTOSO\mdt_build Do các thành viên của role cơ sở dữ liệu đã được sửa db_datareader có thể đọc tất cả các dữ liệu từ tất cả các bảng người dùng, hành động ở trên sẽ cho phép các máy tính mục tiêu của bạn có thể truy cập các tùy chỉnh trong cơ sở dữ liệu MDT. Không tạo bất cứ thay đổi nào với hai trang còn lại (Securables và Status) trong hộp thoại Login – New. Kích OK để hiển thị đăng nhập mới mà bạn đã tạo (hình 19):
  20. Hình 19: Tài khoản CONTOSO\mdt_build đã được phép truy cập vào cơ sở dữ liệu MDT Lúc này bạn có thể sử dụng cơ sở dữ liệu MDT lần nữa để triển khai Windows 7 dưới kiểu dáng đã được tùy chỉnh đến các máy tính mục tiêu như được mô tả trong phần trước của loạt bài này. Mẹo: Nếu cần cho phép nhiều tài khoản người dùng truy cập vào cơ sở dữ liệu MDT, bạn có thể tạo một nhóm bảo mật cho các tài khoản nào đó, sau đó sử dụng thủ tục trên để gán role cơ sở dữ liệu đã được sửa db_datareader cho nhóm. Mẹo: Để có thêm thông tin về các role mức cơ sở dữ liệu của SQL Server, bạn có thể tham khảo thêm tại đây.

CÓ THỂ BẠN MUỐN DOWNLOAD

Đồng bộ tài khoản