22/12/2024

Déploiement MDT - WDS

Déploiement avec MDT – Intégrer les machines au domaine Active Directory

I. Présentation

Dans ce tutoriel, nous allons apprendre à intégrer au domaine Active Directory les machines déployées à l'aide de MDT. Dans cet exemple, il s'agit d'un déploiement d'une machine Windows 11 23H2, mais cela peut s'appliquer aux autres versions de Windows, y compris Windows 10.

Ainsi, lorsqu'une déploie une machine par le réseau grâce à MDT, celle-ci sera intégrée au domaine Active Directory de façon automatique. Autrement dit, on automatise le processus de jonction au domaine dans MDT.

Pour effectuer la jonction au domaine avec MDT, il y a au moins trois méthodes envisageables :

  • Par délégation Active Directory : on donne les autorisations sur une unité d'organisation spécifique à un utilisateur (que l'on utilise dans MDT)
    • Mot de passe en clair dans le fichier de configuration MDT, à moins de l'encoder en base64 (voir ici)
  • Script PowerShell : on exécute un script PowerShell dans la séquence de tâches de MDT
    • Mot de passe en clair, masqué ou chiffré dans le script
  • Utilisation de l'outil SJDomain
    • Pas de mot de passe car on crée l'objet dans l'annuaire Active Directory avant le déploiement (ce n'est pas la méthode la plus simple, mais surement la sécurisée)

Dans ce tutoriel, la méthode basée sur la délégation Active Directory sera démontrée. C'est probablement la méthode la plus fréquente.

On a besoin :

  • D'un compte utilisateur dédié à MDT pour la jonction des machines au domaine Active Directory (pas de compte administrateur !)
  • D'attribuer des droits à l'utilisateur sur une OU spécifique (on utilise une OU dédiée pour accueillir les nouvelles machines).
  • De configurer le CustomSettings.ini de MDT (pour déclarer les informations sur le domaine et les identifiants)

J'insiste sur le fait qu'en aucun cas, le compte utilisé ne doit être Administrateur du domaine !

II. Jonction au domaine AD : créer un utilisateur MDT

Commencez par créer un compte utilisateur dans l'Active Directory, en PowerShell ou à l'aide de votre console préférée. Dans mon exemple, l'utilisateur s'appelle "[email protected]".

MDT - Intégrer ordinateur au domaine Active Directory - Créer utilisateur - 1

Ce compte doit avoir les options "Le mot de passe n'expire jamais" et "L'utilisateur ne peut pas changer de mot de passe" cochées pour éviter les expirations non maitrisées du mot de passe (et par extension l'échec de la jonction au domaine).

MDT - Intégrer ordinateur au domaine Active Directory - Créer utilisateur - 2

Une fois que ce compte est créé, il faut lui attribuer des droits sur une unité d'organisation de l'annuaire. Dans cet exemple, c'est l'OU "Provisioning" qui est utilisée. Une fois l'OU créée, effectuez un clic droit dessus et cliquez sur "Propriétés".

MDT - Intégrer ordinateur au domaine Active Directory - Déléguer droits - 1

Cliquez sur l'onglet "Sécurité" (1) puis sur "Avancé" (2) pour accéder à la gestion avancée des permissions. Une nouvelle fenêtre s'ouvre, cliquez sur "Ajouter" (3).

MDT - Intégrer ordinateur au domaine Active Directory - Déléguer droits - 2

Cliquez sur "Sélectionnez un principal" de façon à sélectionner l'utilisateur créé précédemment. Commencez par ajouter des permissions qui s'appliquent à "cet objet et tous ceux descendants".

MDT - Intégrer ordinateur au domaine Active Directory - Déléguer droits - 3

Sélectionnez "Créer des objets Ordinateur" et "Suppr. des objets Ordinateur" et cliquez sur "OK".

MDT - Intégrer ordinateur au domaine Active Directory - Déléguer droits - 4

Cliquez de nouveau sur "Ajouter" pour ajouter des permissions supplémentaires. Toujours pour le même compte, mais cette fois-ci sur les "Objets Ordinateur descendants" uniquement.

Dans la liste des autorisations, décochez "Lister le contenu" et cochez les permissions suivantes :

  • Lire toutes les propriétés
  • Écrire toutes les propriétés
  • Autorisations de lecture
  • Modifier les autorisations
  • Écriture validée vers le nom d'hôte DNS
  • Écriture validée vers le nom principal du service
  • Modifier le mot de passe
  • Réinitialiser le mot de passe

Quand c'est fait, cliquez sur "OK".

MDT - Intégrer ordinateur au domaine Active Directory - Déléguer droits - 5

Les permissions pour l'utilisateur MDT sont en place. Cliquez sur "OK" une nouvelle fois.

MDT - Intégrer ordinateur au domaine Active Directory - Déléguer droits - 6

Voilà, la configuration de l'Active Directory est terminée. La suite se passe dans MDT.

III. Configurer la jonction au domaine automatique avec MDT

Ouvrez la console Deployment Workbench pour configurer votre MDT. Effectuez un clic droit sur votre Deployment Share sur la gauche et cliquez sur "Propriétés". Cliquez sur l'onglet "Rules".

La zone de texte à l'écran correspond au fichier de configuration CustomSettings.ini. Ici, pour que la machine soit intégrée au domaine de façon automatique, vous devez déclarer et renseigner plusieurs options :

  • MachineObjectOU = l'OU ciblée
  • JoinDomain = Nom DNS du domaine AD
  • DomainAdminDomain = Nom court du domaine AD
  • DomainAdmin = Nom de l'utilisateur
  • DomainAdminPassword = Mot de passe de l'utilisateur

Ce qui donne :

MDT - Intégrer ordinateur au domaine Active Directory - Déléguer droits - 7

En ce qui concerne l'OU ciblée par l'option "MachineObjectOU", il faut indiquer le Distinguished Name (DN) de cette OU. Quand c'est fait, cliquez sur "OK".

Pour finir, il faut mettre à jour l'image de démarrage Lite Touch. Effectuez un clic droit sur le Deployment Share (toujours dans la console) et cliquez sur "Update Deployment Share". Conservez l'option par défaut et continuez jusqu'à la fin...

MDT - Intégrer ordinateur au domaine Active Directory - Déléguer droits - 8

IV. Tester la jonction au domaine AD

Pour tester, rien de plus simple : il faut déployer une nouvelle machine ! Dans mon cas, ce sera une machine virtuelle. Au moment d'arriver à l'étape "Computer Details" où l'on peut indiquer le nom de l'ordinateur, on constate que l'option "Join a domain" est activée et préconfigurée. Ici, on visualise le nom du domaine, l'OU, l'utilisateur, etc...

Laissez les valeurs précisées (elles correspondent à celle du fichier CustomSettings.ini) et démarrez le déploiement...

MDT - Intégrer ordinateur au domaine Active Directory - Déléguer droits - 9

Une fois le système d'exploitation déployé, vous devriez constater que la machine est intégrée au domaine Active Directory ! C'est visible dans les informations système de Windows 11 :

MDT - PC intégré au domaine Active Directory - 2

Par ailleurs, c'est visible aussi dans l'annuaire Active Directory puisque l'unité d'organisation "Provisioning" contient un nouvel objet qui correspond à notre machine fraîchement déployée.

MDT - PC intégré au domaine Active Directory - 1

V. Conclusion

Voilà, nous venons de voir comment intégrer au domaine Active Directory une machine déployée avec MDT ! Grâce à l'automatisation de cette étape, ce sont quelques précieuses minutes qui seront gagnées lors du déploiement de chaque machine (au lieu de le faire manuellement). Sur le déploiement de plusieurs dizaines ou centaines de machines, croyez-moi, cela compte ! La méthode basée sur SJDomain pourra être abordée dans un prochain article.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

7 commentaires sur “Déploiement avec MDT – Intégrer les machines au domaine Active Directory

  • Avez-vous fait un test avec le dossier par défaut COMPUTERS de l’AD ?
    De mon côté malgré avoir suivi tout le tutoriel, aucun ordinateur n’apparait dans cette OU que j’ai indiqué comme OU de destination des postes avec les bons droits pour l’utilisateur nouvellement créé et aucun message d’erreur qui pourrait me faire avancer …

    Répondre
  • Je confirme, ça n’a jamais voulu fonctionner avec COMPUTERS, par contre avec une OU créée à la main oui !

    Répondre
  • C’est normal, « Computers » n’est pas une OU.

    Bon à savoir pour l’encodage des mots de passe, sinon auras-t’on un tuto pour utiliser les MSA/gMSA avec MDT ?

    Répondre
  • Pour le nom du Pc cela s’applique comment ? Je ne vois pas cette étape .
    Merci

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.