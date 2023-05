I. Présentation

Dans ce tutoriel, nous allons apprendre à intégrer au domaine Active Directory les machines déployées à l'aide de MDT. Dans cet exemple, il s'agit d'un déploiement d'une machine Windows 11 22H2, mais cela peut s'appliquer aux autres versions de Windows, y compris Windows 10.

Ainsi, lorsqu'une déploie une machine par le réseau grâce à MDT, celle-ci sera intégrée au domaine Active Directory de façon automatique. Autrement dit, on automatise le processus de jonction au domaine dans MDT.



Pour effectuer la jonction au domaine avec MDT, il y a au moins trois méthodes envisageables :

Par délégation Active Directory : on donne les autorisations sur une unité d'organisation spécifique à un utilisateur (que l'on utilise dans MDT) Mot de passe en clair dans le fichier de configuration MDT, à moins de l'encoder en base64 (voir ici)

: on donne les autorisations sur une unité d'organisation spécifique à un utilisateur (que l'on utilise dans MDT) Script PowerShell : on exécute un script PowerShell dans la séquence de tâches de MDT Mot de passe en clair, masqué ou chiffré dans le script

: on exécute un script PowerShell dans la séquence de tâches de MDT Utilisation de l'outil SJDomain Pas de mot de passe car on crée l'objet dans l'annuaire Active Directory avant le déploiement (ce n'est pas la méthode la plus simple, mais surement la sécurisée)



Dans ce tutoriel, la méthode basée sur la délégation Active Directory sera démontrée. C'est probablement la méthode la plus fréquente.

On a besoin :

D' un compte utilisateur dédié à MDT pour la jonction des machines au domaine Active Directory (pas de compte administrateur !)

D' attribuer des droits à l'utilisateur sur une OU spécifique (on utilise une OU dédiée pour accueillir les nouvelles machines).

De configurer le CustomSettings.ini de MDT (pour déclarer les informations sur le domaine et les identifiants)

J'insiste sur le fait qu'en aucun cas, le compte utilisé ne doit être Administrateur du domaine !

II. Jonction au domaine AD : créer un utilisateur MDT

Commencez par créer un compte utilisateur dans l'Active Directory, en PowerShell ou à l'aide de votre console préférée. Dans mon exemple, l'utilisateur s'appelle "[email protected]".

Ce compte doit avoir les options "Le mot de passe n'expire jamais" et "L'utilisateur ne peut pas changer de mot de passe" cochées pour éviter les expirations non maitrisées du mot de passe (et par extension l'échec de la jonction au domaine).

Une fois que ce compte est créé, il faut lui attribuer des droits sur une unité d'organisation de l'annuaire. Dans cet exemple, c'est l'OU "Provisioning" qui est utilisée. Une fois l'OU créée, effectuez un clic droit dessus et cliquez sur "Propriétés".

Cliquez sur l'onglet "Sécurité" (1) puis sur "Avancé" (2) pour accéder à la gestion avancée des permissions. Une nouvelle fenêtre s'ouvre, cliquez sur "Ajouter" (3).

Cliquez sur "Sélectionnez un principal" de façon à sélectionner l'utilisateur créé précédemment. Commencez par ajouter des permissions qui s'appliquent à "cet objet et tous ceux descendants".

Sélectionnez "Créer des objets Ordinateur" et "Suppr. des objets Ordinateur" et cliquez sur "OK".

Cliquez de nouveau sur "Ajouter" pour ajouter des permissions supplémentaires. Toujours pour le même compte, mais cette fois-ci sur les "Objets Ordinateur descendants" uniquement.

Dans la liste des autorisations, décochez "Lister le contenu" et cochez les permissions suivantes :

Lire toutes les propriétés

Écrire toutes les propriétés

Autorisations de lecture

Modifier les autorisations

Écriture validée vers le nom d'hôte DNS

Écriture validée vers le nom principal du service

Modifier le mot de passe

Réinitialiser le mot de passe

Quand c'est fait, cliquez sur "OK".

Les permissions pour l'utilisateur MDT sont en place. Cliquez sur "OK" une nouvelle fois.

Voilà, la configuration de l'Active Directory est terminée. La suite se passe dans MDT.

III. Configurer la jonction au domaine automatique avec MDT

Ouvrez la console Deployment Workbench pour configurer votre MDT. Effectuez un clic droit sur votre Deployment Share sur la gauche et cliquez sur "Propriétés". Cliquez sur l'onglet "Rules".

La zone de texte à l'écran correspond au fichier de configuration CustomSettings.ini. Ici, pour que la machine soit intégrée au domaine de façon automatique, vous devez déclarer et renseigner plusieurs options :

MachineObjectOU = l'OU ciblée

JoinDomain = Nom DNS du domaine AD

DomainAdminDomain = Nom court du domaine AD

DomainAdmin = Nom de l'utilisateur

DomainAdminPassword = Mot de passe de l'utilisateur

Ce qui donne :

En ce qui concerne l'OU ciblée par l'option "MachineObjectOU", il faut indiquer le Distinguished Name (DN) de cette OU. Quand c'est fait, cliquez sur "OK".

Pour finir, il faut mettre à jour l'image de démarrage Lite Touch. Effectuez un clic droit sur le Deployment Share (toujours dans la console) et cliquez sur "Update Deployment Share". Conservez l'option par défaut et continuez jusqu'à la fin...

IV. Tester la jonction au domaine AD

Pour tester, rien de plus simple : il faut déployer une nouvelle machine ! Dans mon cas, ce sera une machine virtuelle. Au moment d'arriver à l'étape "Computer Details" où l'on peut indiquer le nom de l'ordinateur, on constate que l'option "Join a domain" est activée et préconfigurée. Ici, on visualise le nom du domaine, l'OU, l'utilisateur, etc...

Laissez les valeurs précisées (elles correspondent à celle du fichier CustomSettings.ini) et démarrez le déploiement...

Une fois le système d'exploitation déployé, vous devriez constater que la machine est intégrée au domaine Active Directory ! C'est visible dans les informations système de Windows 11 :

Par ailleurs, c'est visible aussi dans l'annuaire Active Directory puisque l'unité d'organisation "Provisioning" contient un nouvel objet qui correspond à notre machine fraîchement déployée.

V. Conclusion

Voilà, nous venons de voir comment intégrer au domaine Active Directory une machine déployée avec MDT ! Grâce à l'automatisation de cette étape, ce sont quelques précieuses minutes qui seront gagnées lors du déploiement de chaque machine (au lieu de le faire manuellement). Sur le déploiement de plusieurs dizaines ou centaines de machines, croyez-moi, cela compte ! La méthode basée sur SJDomain pourra être abordée dans un prochain article.