Windows2008R2部署服务所需地权限

1、Win dows2008R2部署服务所需的权限应用到：Windows Server 2008, Windows Server 2008 R2本章概述了以下权限以及在适用时如何授予这些权限。若要修改本指南中描述的注册表设置，请仅使用Windows 部署服务管理工具-不应直接编辑这些设置和属性。常规权限若要完全管理 Win dows 部署服务服务器，需要以下权限：? Win dows部署服务服务器的本地管理员。这可为您提供以下权限：o 文件权限和Remote In stall文件夹的权限（管理工具使用UNC路径与映像存储交互）。o 注册表配置单元权限。Win dows 部署服务服务器的许多设置都存

2、储在HKEY_LOCAL_MACHINESystem 中，而您需要对这些位置有适当的权限才能对其进行更改。? 包含 Windows 部署服务服务器的域的域管理员。这为您提供对 Windows 部署服务服务器的 Active Directory 域服务（AD DS）中服务控制点（SCP）的权限。服务器的一 些配置设置存储在这里。? 企业管理员（可选）。这为您提供动态主机配置协议（DHCP）授权权限。如果启用了 DHCP授权，则必须在 AD DS中授权 Windows 部署服务服务器，才能答复传入客户端PXE请求。DHCP授权存储在 AD DS中的配置容器中。在将 Windows 部署服务服务器的

3、管理委派给域管理员或企业管理员以外的帐户（并将这些常规权限授予委派的帐户）时，这通常十分有用。委派的管理员帐户应是上面指定的本地和域管理员。常见管理任务权限下表包含每个帐户所需的一些常见任务和权限。任务所需权限添加或完全控制9ImageGroup 。删除映像组添加或完全控制ImageGroup 。删除映像禁用映读写关联映像文件的属性的权限。禁用映像意味着隐藏与映像关联的Windows映像（.wim）文件像添加启对以下文件夹的读写访问权限：动映像? C:Remotelnstall'Boot? C:RemoteInstallAdmin（仅在从 Windows Server 2003升级时才

4、存在此文件夹）。? %TEMP%删除启 对C:Remotelnstall'Boot的读写访问权限。动映像设置映 对表示映像的.wim元数据文件的读写权限。此文件位于像的属性ImageGroup的映像组中预安排计算机在域中创建帐户的权限以及对计算机对象的属性的写入权限。授予预安排计算机的权限1. 打开“Active Directory用户和计算机”。2. 右键单击要在其中创建预安排计算机帐户的组织单位（OU），然后选择“委派控制”3在向导的第一个屏幕上，单击 “下一步”。4. 添加要向其委派控制的用户或组，然后单击“下一步”。5. 选择“创建自定义任务去委派”。6. 选择“只是在这个文件

5、夹中的下列对象”。a. 选中“计算机对象” 复选框。b. 选择“在这个文件夹中创建所选对象”c.单击“下一步”。7在“权限”框中，选中“写入所有属性”复选框。8. 单击“完成”。批准挂 对Remote In stall 共享文件夹中包含数据库文件 Bini svcdb.mdb的文件夹的读写权限(例如C:Remotel nstall'MGMT )。起的计批准的挂起计算机的实际帐户是使用服务器的身份验证令牌创建的，而不是使用执行批准的管理员的令牌创建的。因此，在算机AD DS中，必须向 Windows 部署服务服务器的帐户(WDSSERVER$)授予权限才能为在其中创建批准的挂起计算机的容

6、器和组织单位创建计算机帐户对象。授予批准挂起的计算机的权限1. 打开“Active Directory用户和计算机”。2. 右键单击要在其中创建预安排计算机帐户的组织单元，然后选择“委派控制”。3在向导的第一个屏幕上，单击 “下一步”。4. 更改“对象类型”以包括计算机。5. 添加Windows 部署服务服务器的计算机对象，然后单击“下一步”。6. 选择“创建自定义任务去委派”。7. 选择“只是在这个文件夹中的下列对象”。a. 选中“计算机对象” 复选框。b. 选择“在这个文件夹中创建所选对象”。c. 单击“下一步”。8. 在“权限”框中，选中“写入所有属性”复选框。9. 单击“完成”。预安排

7、该用户帐户必须具有加入到域的权限。Joi nRights 设置确定安全权限集，用户属性确定哪些用户有权加入到域。计算机 Join Rights 设置有两个值：使其加?仅加入。具有仅加入权限的用户没有管理员的帮助无法加入域(对计算机帐户对象有适当权限的管理员必须重置计算机帐户才能安装客入到域户端和加入域)。?完全。具有完全权限的用户无需管理员协助即可重置帐户和加入域。对于用户属性，可以使用两个管理模型。?(推荐)在批准计算机时可以将主要用户关联到帐户。在批准计算机时，计算机帐户将授予主要用户以下权限：o读写计算机对象上的所有属性(JoinRights = JoinOnly 或JoinRights

8、 = Full)o重置和更改计算机对象上的密码权限(JoinRights = Full )?可以为适用于给定结构的所有已批准客户端的用户和Join Rights指定服务器默认值。默认值将授予域管理员完全加入权限。如果在批准时不将主要用户分配给计算机帐户，则这些默认值将起作用。备注如果对非英语域控制器创建计算机帐户并且使用的是默认用户属性，则必须设置自动添加设置才能使用不包含扩展字符的其他帐户。例如， XXXX。若要更改此值，请参阅WDSUTIL /set-server /AutoAddSettings的命令提示符处的帮助。主要用户和Join Rights属性在创建计算机帐户时设置。因此，创建计

9、算机对象的权限需要与批准挂起的计算机的权限相同。 若要更改每个服务器（每个体系结构）的默认值，需要对以下注册表项有读写权限：? HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWDSServerProvidersWDSPXEProvidersBINLSVCA utoApprove<arch>名称：Joi nRights类型：DWORD值：0 = JoinOnly ; 1 = Full? HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWDSServerProvidersWDSPXEP

10、rovidersBINLSVCA utoApprove<arch>名称：User类型：REG_SZ值：组或用户的名称转换RIPREP映像创建发现或捕?对%TEMP% 目录和目标位置的读写权限?对原始RIPREP映像的读取权限?对%TEMP% 目录和目标位置的读写权限获映像?对原始启动映像的读取权限创建多？完全控制以下注册表项：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWDSServerProvidersMulticast播传输?对ImageGroup的读取权限。修改多完全控制以下注册表项：播传输HKEY_LOCAL_MACHI

11、NESYSTEMCurre ntC on trolSetServicesWDSServerProvidersMulticast（例如，删除、停用、启用、停止、断开连接等）客户端安装权限通常，执行客户端安装需要域用户权限。但是，还可能需要其他权限，这取决于具体方案。本节概述了执行常见安装任务所需的最小权限集。任务所需权限PXE启动客户端计算机PXE启动客户端不需要任何权限，也不存在保护从网络启动进程的机制。如果安全性是您的关注重点，则建议使用物理介质（例如，包含发现映像的 介质）来启动每台计算机。选择启动映像选择启动映像不需要任何权限，也不存在保护列表中显示的项的机制。第一 个身份验证机制是使用

12、运行于 Windows PE 中的Windows 部者服务客 户端发生的。选择安装映像Win dows部署服务客户端的用户界面中提供的凭据必须是域帐户的凭据。 在客户端通过Windows部署服务服务器身份验证之后，经过验证的用户 必须能够从 RemoteInstall文件夹中读取install.wim 文件和Res.rwm文件。默认情况下，经过身份验证的用户有执行此操作的权限。加入域该用户帐户必须具有加入到域的权限。Joi nRights 设置确疋安全权限集，用户属性确定哪些用户有权加入到域。Joi nRights 设置有两个值：?仅加入。具有仅加入权限的用户没有管理员的帮助无法加入域（对计算

13、机帐户对象有适当权限的管理员必须重置计算机帐户才能安装客户端和加入域）。?完全。具有完全权限的用户无需管理员协助即可重置帐户和加入域。对于用户属性，可以使用两个管理模型。?（推荐）在批准计算机时可以将主要用户关联到帐户。在批准计算机时，计算机帐户将授予主要用户以下权限：o读写计算机对象上的所有属性（JoinRights = JoinOnly 或 JoinRights = Full）o重置和更改计算机对象上的密码权限（JoinRights = Full ）?可以为适用于给定结构的所有已批准客户端的用户和JoinRights指定服务器默认值。默认值将授予域管理员完全加入权限。如果在批准时不将主要用

14、户分配给计算机帐户，则这些默认值将起作用。如果计算机是预安排的（即，表示物理客户端计算机的计算机帐户在 AD DS 中已存在），则执行安装的用户（或用于加入域的无人参与文件中的凭据） 需要相应的JoinDomain 权限（如前所述）。如果计算机不是预安排的（这意味着Windows部署服务将在AD DS中创建一个计算机帐户），则执行安装的用户（或为加入域在无人参与文件中 指定的凭据）需要有添加预安排的计算机和相应的 Joi nRights的权限。使用/ResetBootProgr am在安装期间禁用对命令提示符的访问如果启用了 ResetBootProgram功能，则用户需要有对预安排计算机对象

15、上netbootMachineFilePath属性的读写权限。如果未授予此权限，并且用户的启动程序设置为 pxeboot.n12 ，则Windows 部署服务无法将 NBP重置为 ，从而强制计算机进入无限重启循环。有关详 细信息，请参阅 管理网络启动程序。默认情况下，在 Win dows 部署服务安装过程中，用户可以通过以下方式 获得对命令提示符的访问权限：?当安装程序在 Windows PE 中运行时按 Shift+F10。?当映像捕获向导在 Windows PE 中运行时按 Shift+F1O 。?在 Microsoft Windows预安装环境 （Windows PE） 启动时按住 Ct

16、rl键。?在全新体验（OOBE）运行时按Shift+F10 （OOBE是通常在安装程序之后运行 的向导）。重要事项在OOBE过程中打开的命令提示符窗口将在系统环境中运行。如果在安装程序结束时没有关闭此窗口，则即使用户不是客户端计算机上的本地管理员，也可能通过访问该窗口获得系统权限。通过将DisableCmdRequest.tag添加到映像可以禁用此功能。禁用对启动映像访问1在Windows 部署服务MMC管理单元中，右键单击所需的启动映 像并选择“禁用”。2. 装载使用Windows自动安装工具包（AIK）中提供的工具进行读写 访问的映像。3在装载的映像中创建文件 %windir%SetupS

17、criptsDisableCmdRequest.tag。4. 提交更改并卸载映像。5在Windows 部署服务MMC管理单元中，右键单击所需的启动映 像并选择“启用”。禁用对安装映像访问1在Windows 部署服务MMC管理单元中，右键单击所需的启动映 像并选择“禁用”。2. 将映像导出为外部.wim 文件。3. 装载使用 Windows AIK 中提供的工具进行读写访问的映像。4在装载的映像中创建文件 %windir%SetupScriptsDisableCmdRequest.tag。5. 提交更改并卸载映像。6. 在 Windows 部署服务MMC管理单元中，右键单击禁用的安装映像并选择“

18、替换映像”。7. 按照向导中的说明重新导入修改的安装映像服务器属性权限下一节概述了使用服务器属性页执行常见管理任务所需的最小权限集。若要访问这些设置，请打开Windows 部署服务MMC管理单元，右键单击该服务器并单击“属性”选项需要权限的设置卡PXE? PXE响应策略。PXE响应策略是根据服务器的简单控制协议（SCP）进行存储的。配置这些设置需要对此对象有读写权限。响应授予SCP对象的权限：设置1. 打开“Active Directory用户和计算机”。2. 单击“查看”，然后单击“高级功能”（如果尚未启用）。3. 右键单击Windows部署服务服务器的计算机帐户，并单击“属性”。4. 在“

19、远程安装”选项卡上，选择“高级设置”5. 选择“安全”选项卡，并单击“添加”6. 选择用户，然后选择“完全控制此对象”。? PXE响应延迟。PXE响应延迟是根据服务器的SCP存储的。若要为服务器配置PXE响应延迟，必须对以下对象具有读写权限：HKEY_LOCAL_MACHINESystemCurre ntCo ntrolSetServicesWDSSERVERProvidersWDSPXEProvidersBINLSVCo 名称：netbootAnswerRequestso 类型：REG_SZo值：False =不答复任何客户端请求；True = 答复客户端请求目录？新建客户端命名策略 。此设

20、置存储在服务器的SCP对象中。该属性称为：netbootNewMachineNamingPolicy服务?客户端帐户位置 。此设置存储在服务器的SCP对象中。该属性称为：netbootNewMachineOU启动默认的启动程序?服务器级：此选项由以下注册表项控制：HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServicesWDSServerProvidersWDSPXEProvidersBINLSVCBootPrograms<arch>o名称：默认o 类型：REG_SZo值：此体系结构的服务器级客户端默认启动程序所在的路径。例如：bootx

21、86?每台计算机：计算机帐户属性是：netbootMachineFilePath默认的启动映像?服务器级：此选项由以下注册表项控制：HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServicesWDSServerProvidersWDSPXEProvidersBINLSVCBootImages<arch>o 名称：BootImagePatho 类型：REG_SZo值：此体系结构的服务器级客户端默认启动映像所在的路径。例如：bootx86imagesboot.wim?每台计算机：计算机帐户属性是：netbootMirrorDataFile客户 无人参与文件端?服务器级：此选项由以下注册表项控制：HKEY_LOCAL_MACHINESYSTEMCurre ntCo ntrolSetServicesWDSServerProvidersWdslmgSrv Un atte ndx86o 名称：FilePatho 类型：REG_SZo值：与Remote In stall文件夹相关的服务器级客户端无人参与文件所在的路径。例如：WdsClie ntUn atte ndWds Un atte nd.xm