« 'Manager moet voorop bij nieuwe werken' | Main | SharePoint Online Language Packs »

August 11, 2009

Windows 7 Distribution share MDT 2010 check

Wanneer je met MDT 2010 Windows 7 deployed en je verwijst naar de distribution share op dezelfde server... lees dit dan even goed door.

Dubbel check

Bij het testen van de distribution share is gebleken dat elke user in kan loggen op de distribution share en toegang heeft tot alle bestanden en mappen onder deze folder structuur.

Ik heb het hier over de situatie waarbij je de MDT 2010 server in het domein hangt en je vervolgens ongewilt domain users lees rechten geeft op de distribution share. De restricted groups zijn in dat geval nog niet juist geimplementeerd.

Wanneer je geen restricted groups op een server rol implementeerd zullen domain users toegang krijgen tot een onaangenaam aantal resources.

Dit komt omdat by default de local users group als lid de domain users group krijgen. Dit is op zich niets nieuws. Daarom passen we Restricted groups immers ook toe.

Het is altijd belangrijk goed te kijken naar de bestaande OU stuctuur en hoe Restricted groups worden toegepast.

In de praktijk

In verschillende situaties heb ik gezien dat de OU hierarchie vaak op basis van Server rol is ingedeeld. Per server rol worden restricted groups gekoppeld aan Global groups. Echter gaat het bij het implementeren van MDT 2010 in sommige omgevingen om een nieuwe server rol. De MDT server komt dan onder een nieuwe OU. Echter nog niet met de juiste restricted group configuratie in de policy.

Testen

Gelukkig test je dit van te voren. Wanneer je deze situatie herkent is het raadzaam het benaderen van de distribution share even te controleren met een representatief user account.

Risico

In de distribution share kan je namelijk het account en wachtwoord achterhalen waarmee computer accounts in het domein gehangen worden. Als je geen gebruik maakt van delegaties op OU niveau dan kan dat dus betekenen dat men het customsettings.ini bestand uit kan lezen en een domain admin account in handen kan krijgen. Daarnaast is het achterhaalde OU delegatie account voor het toevoegen van computer accounts ook iets wat je niet graag deelt.

(dank je Jonathan)

Posted by Danny Burlage at 03:14:00 PM in Windows 7

Bookmarks: Google Bookmarks Delicious Technorati Technorati LinkedIN LinkedIN MSN Reporter NuJIJ Facebook diigo it

TrackBack

TrackBack URL for this entry:
http://www.typepad.com/services/trackback/6a010534dbe74a970c0120a4e024c7970b

Feed Comments

Post a comment.