Citrix Provisioning

Konfigurieren virtueller Datenträger für die Active Directory-Verwaltung

Das Integrieren von Citrix Provisioning und Active Directory ermöglicht Administratoren Folgendes:

  • Auswählen der Active Directory-Organisationseinheit (OU) für das Computerkonto von Citrix Provisioning-Zielgeräten.
  • Nutzen von den Active Directory-Verwaltungsfunktionen, wie z. B. das Zuweisen der Objektverwaltung und Gruppenrichtlinien.
  • Konfigurieren des Citrix Provisioning-Servers, sodass er automatisch die Kontokennwörter von Zielgeräten verwaltet.

Bevor Sie Active Directory in die Farm integrieren, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Vor dem Erstellen des virtuellen Datenträgers wurde das Masterzielgerät der Domäne hinzugefügt.
  • Beim Ausführen des Imageoptimierungsassistenten wurde die Option Disable Machine Account Password Changes ausgewählt.

Wenn Sie alle Voraussetzungen überprüft haben, können Sie neue Zielgeräte hinzufügen und dem virtuellen Datenträger zuweisen. Ein Maschinenkonto wird dann für jedes Zielgerät erstellt.

Verwalten von Domänenkennwörtern

Wenn das Zielgerät im Privatimagemodus auf den eigenen virtuellen Datenträger zugreift, gibt es keine spezifischen Anforderungen für das Verwalten von Domänenkennwörtern. Wenn der Zugriff auf den virtuellen Datenträger jedoch im Standardimagemodus erfolgt, wird der Name des Zielgeräts vom Provisioning-Server zugewiesen. Ist das Zielgerät Mitglied der Domäne, müssen der vom Server zugewiesene Name und das Kennwort mit dem Namen und dem Kennwort des entsprechenden Benutzerkontos in der Domäne übereinstimmen. Anderenfalls schlägt die Anmeldung des Zielgeräts fehl. Daher muss der Provisioning-Server die Domänenkennwörter der Zielgeräte verwalten, die einen virtuellen Datenträger gemeinsam verwenden.

Zum Aktivieren der Verwaltung der Domänenkennwörter müssen Sie die von Active Directory (oder von der NT 4.0-Domäne) gesteuerte automatische Neuaushandlung der Maschinenkennwörter deaktivieren. Aktivieren Sie hierzu die Sicherheitsrichtlinie “Änderungen von Computerkontokennwörtern deaktivieren” auf Domänen- oder Zielgerätebene. Der Provision Server stellt mit der Funktion Automatic Password Renegotiate eine gleichwertige Funktionalität bereit.

Zielgeräte, die von virtuellen Datenträgern gestartet werden, erfordern keine Neuverhandlung des Active Directory-Kennworts mehr. Wenn Sie die Richtlinie für das Deaktivieren von Kennwortänderungen auf Domänenebene konfiguriert haben, gilt sie auch für alle Domänenmitglieder, die von lokalen Festplatten starten. Wenn Richtlinien zur Deaktivierung von Kennwortänderungen für Ihre Umgebung nicht wünschenswert sind, deaktivieren Sie das Ändern von Computerkontokennwörtern auf lokaler Ebene. Um Änderungen an Computerkontokennwörtern zu deaktivieren, wählen Sie beim Erstellen eines virtuellen Datenträgerimages die Option Optimize. Die Einstellung gilt für alle Zielgeräte, die vom freigegebenen virtuellen Datenträgerimage starten.

Hinweis:

Das Active Directory-Schema wird vom Citrix Provisioning-Server nicht geändert oder erweitert. Der Provisioning-Server erstellt und ändert Computerkonten in Active Directory und setzt Kennwörter zurück.

Wenn die Verwaltung der Domänenkennwörter aktiviert ist, werden folgende Aufgaben ausgeführt:

  • Festlegen eines eindeutigen Kennworts für das Zielgerät.
  • Speichern des Kennworts im entsprechenden Computerkonto der Domäne.
  • Bereitstellen der notwendigen Informationen zum Zurücksetzen des Kennworts auf dem Zielgerät, bevor es sich an der Domäne anmeldet.

Kennwortverwaltungsprozess

Kennwortvalidierung mit Active Directory

Wenn die Kennwortverwaltung aktiviert ist, umfasst die Validierung der Domänenkennwörter Folgendes:

  • Erstellen eines Computerkontos für das Zielgerät in der Datenbank und Zuweisen eines Kennworts für das Konto.
  • Bereitstellen des Kontonamens für das Zielgerät mit dem Streamdienst.
  • Validieren des vom Zielgerät angegebenen Kennworts mit dem Domänencontroller.

Aktivieren der Domänenverwaltung

Alle Zielgeräte, die sich an der Domäne anmelden, müssen ein Computerkonto auf dem Domänencontroller haben. Das Computerkonto ist mit einem Kennwort geschützt, das vom Windows Desktop-Betriebssystem verwaltet wird und für den Benutzer transparent ist. Das Kennwort für das Konto wird auf dem Domänencontroller und auf dem Zielgerät gespeichert. Wenn die Kennwörter auf dem Zielgerät und dem Domänencontroller nicht übereinstimmen, kann sich der Benutzer nicht vom Zielgerät aus an der Domäne anmelden.

Zum Aktivieren der Domänenverwaltung müssen Sie die folgenden Aufgaben durchführen:

  • Aktivieren der Verwaltung des Computerkontokennworts
  • Aktivieren der automatischen Kennwortverwaltung

Aktivieren der Verwaltung des Computerkontokennworts

Führen Sie die folgenden Schritte aus, um die Verwaltung des Computerkontokennworts zu aktivieren:

  1. Klicken Sie in der Citrix Provisioning-Konsole mit der rechten Maustaste auf einen virtuellen Datenträger und wählen Sie File Properties.
  2. Klicken Sie auf der Registerkarte Options auf Active Directory machine account password management.
  3. Klicken Sie auf OK. Schließen Sie die Eigenschaftendialogfelder und starten Sie den Streamdienst neu.

Aktivieren der automatischen Kennwortverwaltung

Wenn die Zielgeräte zu einer Active Directory-Domäne gehören und einen virtuellen Datenträger gemeinsam verwenden, führen Sie folgende Schritte aus:

Führen Sie die folgenden Schritte aus, um die automatische Kennwortunterstützung zu aktivieren:

  1. Klicken Sie in der Konsole mit der rechten Maustaste auf einen Provisioning-Server und wählen Sie die Menüoption Properties.
  2. Klicken Sie auf der Registerkarte Options auf “Enable automatic password support”.
  3. Geben Sie das Intervall in Tagen an, in dem das Kennwort geändert werden muss.
  4. Klicken Sie auf OK, um das Dialogfeld Server Properties zu schließen.
  5. Starten Sie den Streamdienst neu.

Verwalten von Domänencomputerkonten

Die hier dokumentierten Aufgaben müssen mit dem Citrix Provisioning-Server statt in Active Directory ausgeführt werden, um die Produktfunktionen in vollem Umfang zu nutzen.

Unterstützen von strukturübergreifenden Szenarios

Unterstützen strukturübergreifender Szenarios

  • Stellen Sie sicher, dass DNS ordnungsgemäß eingerichtet ist. Auf der Website von Microsoft finden Sie Informationen über das Vorbereiten von DNS für eine Gesamtstruktur-Vertrauensstellung.
  • Stellen Sie sicher, dass die Funktionsebene der Gesamtstruktur für beide Gesamtstrukturen die gleiche Version von Windows Server ist.
  • Erstellen Sie die Gesamtstruktur-Vertrauensstellung. Um ein Konto in einer Domäne aus einer anderen Gesamtstruktur zu erstellen, erstellen Sie eine eingehende Vertrauensstellung von der externen Gesamt struktur in die Gesamtstruktur, in der Citrix Provisioning ist.

Hierarchisches Domänenszenario

Üblicherweise residiert in domänenübergreifenden Konfigurationen der Citrix Provisioning-Server in einer übergeordneten Domäne und die Benutzer gehören zu einer oder mehreren untergeordneten Domänen. Diese Benutzer können Citrix Provisioning und Active Directory-Konten in ihren eigenen Domänen verwalten.

Implementieren dieser Konfiguration

  1. Erstellen Sie eine Sicherheitsgruppe in der untergeordneten Domäne; es kann sich um eine universelle, globale oder lokale Domänengruppe handeln. Definieren Sie einen Benutzer aus der untergeordneten Domäne als Mitglied dieser Gruppe.

  2. Legen Sie in der Provisioning-Konsole in der übergeordneten Domäne die Sicherheitsgruppe der untergeordneten Domäne als Citrix Provisioning-Administrator fest.

  3. Falls der Benutzer der untergeordneten Domäne nicht über Active Directory-Berechtigungen verfügt, verwenden Sie den Delegierungsassistenten in der Active Directory-Benutzer und -Computer-Management-Konsole. Verwenden Sie diese Methode, um die Computerkontorechte eines Benutzers für die angegebene Organisationseinheit zuzuweisen, zu erstellen und zu löschen.

  4. Installieren Sie die Citrix Provisioning-Konsole in der untergeordneten Domäne. Es ist keine Konfiguration erforderlich. Melden Sie sich am Provisioning-Server als Benutzer einer untergeordneten Domäne an.

Strukturübergreifende Konfiguration

Diese Konfiguration ähnelt dem domänenübergreifenden Szenario. In dieser Konfiguration befinden sich jedoch die Citrix Provisioning-Konsole, Benutzer und die Administratorgruppe in einer Domäne in einer separaten Gesamtstruktur. Die Schritte sind dieselben wie beim hierarchischen Szenario, außer dass zuerst eine Gesamtstruktur-Vertrauensstellung eingerichtet werden muss.

Hinweis:

Microsoft empfiehlt, dass Administratoren ihre Rechte nicht an den standardmäßigen Computer-Container delegieren. Das optimale Verfahren besteht darin, in den Organisationseinheiten Konten zu erstellen.

Gewähren von Provisioning Services-Administratorrechten für Benutzer einer anderen Domäne

Citrix empfiehlt die folgende Methode. Bei der rollenbasierten Administration ist für den Administrator eine bidirektionale Vertrauensstellung erforderlich, wenn sich PVS und der PVS-Administrator in verschiedenen Domänen befinden.

  1. Fügen Sie den Benutzer einer universellen Gruppe in der eigenen Domäne hinzu (nicht in der Citrix Provisioning-Domäne).
  2. Fügen Sie diese universelle Gruppe einer lokalen Domänengruppe in der Citrix Provisioning-Domäne hinzu.
  3. Legen Sie diese lokale Domänengruppe als Citrix Provisioning-Administratorgruppe fest.

Hinzufügen von Zielgeräten zu einer Domäne

Hinweis:

Der für das virtuelle Datenträgerimage verwendete Maschinenname darf in der Umgebung nicht noch einmal verwendet werden.

  1. Klicken Sie im Konsolenfenster mit der rechten Maustaste auf ein oder mehrere Zielgeräte. Klicken Sie alternativ mit der rechten Maustaste auf die Gerätesammlung selbst, um alle Zielgeräte in dieser Sammlung zu einer Domäne hinzuzufügen. Wählen Sie Active Directory und anschließend Create machine account. Das Dialogfeld Active Directory Management wird angezeigt.
  2. Wählen Sie in der Liste “Domain” die Domäne aus, zu der das Zielgerät gehört. Oder geben Sie im Textfeld Domain Controller den Namen des Domänencontrollers ein, dem die Zielgeräte hinzugefügt werden sollen. Wenn Sie das Textfeld leer lassen, wird der erste gefundene Domänencontroller verwendet.
  3. Wählen Sie aus der Liste “Organization Unit” (OU) die Organisationseinheit aus, zu der das Zielgerät gehört, bzw. geben Sie sie ein. Die Syntax ist “Übergeordnet/Untergeordnet”, Listen werden durch Kommas getrennt. Wenn verschachtelt, kommt das übergeordnete Element zuerst.
  4. Klicken Sie auf die Schaltfläche Add devices, um die ausgewählten Zielgeräte der Domäne und dem Domänencontroller hinzuzufügen. In einer Statusmeldung wird angegeben, ob die einzelnen Zielgeräte erfolgreich hinzugefügt wurden. Klicken Sie auf Close, um das Dialogfeld zu schließen.

Entfernen von Zielgeräten aus einer Domäne

  1. Klicken Sie im Konsolenfenster mit der rechten Maustaste auf ein oder mehrere Zielgeräte. Klicken Sie alternativ mit der rechten Maustaste auf die Gerätesammlung selbst, um alle Zielgeräte in dieser Sammlung zu einer Domäne hinzuzufügen. Wählen Sie Active Directory Management und anschließend Delete machine account. Das Dialogfeld Active Directory Management wird angezeigt.
  2. Markieren Sie in der Tabelle Target Device die Zielgeräte, die Sie aus der Domäne entfernen möchten, und klicken Sie anschließend auf die Schaltfläche Delete Devices. Klicken Sie auf Close, um das Dialogfeld zu schließen.

Zurücksetzen von Computerkonten

Hinweis:

Active Directory-Computerkonten können nur zurückgesetzt werden, während das Zielgerät nicht aktiv ist.

Zurücksetzen von Computerkonten für Zielgeräte in einer Active Directory-Domäne

  1. Klicken Sie im Konsolenfenster mit der rechten Maustaste auf ein oder mehrere Zielgeräte. Klicken Sie alternativ mit der rechten Maustaste auf die Gerätesammlung selbst, um alle Zielgeräte in dieser Sammlung zu einer Domäne hinzuzufügen. Wählen Sie Active Directory Management und anschließend Reset machine account. Das Dialogfeld Active Directory Management wird angezeigt.

  2. Markieren Sie in der Tabelle Target Device die Zielgeräte, die Sie zurücksetzen möchten, und klicken Sie auf die Schaltfläche Reset devices.

    Hinweis:

    Fügen Sie dieses Zielgerät beim Vorbereiten des ersten Zielgeräts der Domäne hinzu.

  3. Klicken Sie auf Close, um das Dialogfeld zu schließen.

  4. Deaktivieren Sie die automatische Neuaushandlung des Kennworts bei Windows Active Directory. Um die automatische Neuaushandlung des Kennworts auf dem Domänencontroller zu deaktivieren, aktivieren Sie die folgende Gruppenrichtlinie: Domain member: Disable machine account password changes.

    Hinweis:

    Wenn Sie diese Sicherheitsrichtlinie ändern möchten, müssen Sie die Berechtigungen zum Hinzufügen und Ändern der Computerkonten in Active Directory haben. Sie können das Ändern von Kontokennwörtern auf Domänenebene oder lokaler Ebene deaktivieren. Wenn Sie das Ändern von Computerkontokennwörtern auf Domänenebene deaktivieren, gilt dies für alle Mitglieder der Domäne. Wenn Sie dies auf lokaler Ebene deaktivieren (durch Ändern der lokalen Sicherheitsrichtlinie auf einem Zielgerät, das mit dem virtuellen Datenträger im Privatimagemodus verbunden ist), gilt dies nur für Zielgeräte, die diesen virtuellen Datenträger verwenden.

  5. Starten Sie alle Zielgeräte.

Active Directory-basierte Aktivierung

Das Konfigurieren der Microsoft-Volumenlizenzierung für einen einzelnen virtuellen Datenträger mit der Active Directory-basierten Aktivierung wurde geändert. Mit dieser Funktionalität können Sie festlegen, dass der virtuelle Datenträger keine Volumenlizenzierung verwendet.

Microsoft-Volumenlizenzierung in den Eigenschaften virtueller Datenträger

Hinweis:

Berücksichtigen Sie bei der Microsoft-Volumenlizenzierung für einen virtuellen Datenträger, dass Schlüsselverwaltungsdienste (KMS), Mehrfachaktivierungsschlüssel (MAK) und Active Directory-basierte Aktivierung (ADBA) nicht zusammen verwendet werden können.

Verbessern der Active Directory-basierten Aktivierung:

  1. Legen Sie im Eigenschaftenbildschirm für den virtuellen Datenträger die Eigenschaft “Microsoft Licensing” auf None fest.
  2. Verwenden Sie auf dem Zielgerät slmgr-dlv für ein Microsoft-Image und cscript ospp.vbs/dstatus für ein Microsoft Office-Image.

Tipp:

Ein bekanntes Problem besteht, wenn VAMT Fehler über doppelte CMID-Einträge für ADBA-aktivierte Geräte anzeigt. Das Problem tritt auf, obwohl ADBA CMID nicht verwendet. ADBA verwendet, obwohl es KMS ähnelt, keine CMID. Microsoft verwendet KMS-Daten beim Kompilieren von CMID-Informationen wieder. Das folgende Bild zeigt einen VAMT-Toolbildschirm für ADBA. Im Fenster Volume Activation by Type werden Konflikte für doppelte CMID-Einträge für diese Geräte angezeigt.

Microsoft-Volumenlizenzierung in den Eigenschaften virtueller Datenträger

Konfigurieren virtueller Datenträger für die Active Directory-Verwaltung