Configuration des disques virtuels pour la gestion d’Active Directory
L’intégration de Citrix Provisioning et d’Active Directory permet aux administrateurs d’effectuer les tâches suivantes :
- sélectionner l’unité d’organisation (OU) Active Directory pour le compte d’ordinateur de machine cible Citrix Provisioning ;
- tirer parti des fonctionnalités de gestion d’Active Directory comme la délégation du contrôle et les stratégies de groupe ;
- configurer le serveur Citrix Provisioning pour gérer automatiquement les mots de passe des comptes d’ordinateurs des machines cibles.
Avant d’intégrer Active Directory dans la batterie, vérifiez que les conditions préalables suivantes sont réunies :
- La machine cible principale a été ajoutée au domaine avant la création du disque virtuel.
- L’option Disable Machine Account Password Changes a été sélectionnée lors de l’exécution de l’assistant d’optimisation d’images.
Une fois toutes les conditions préalables vérifiées, il est possible d’ajouter et d’attribuer de nouvelles machines cibles au disque virtuel. Un compte d’ordinateur est ensuite créé pour chaque machine cible.
Gestion des mots de passe de domaine
Lorsque les machines cibles accèdent à leur propre disque virtuel en mode Private Image, la gestion des mots de passe de domaine ne nécessite aucune exigence particulière. Toutefois, lorsqu’une machine cible accède à un disque virtuel en mode Standard Image, le serveur de provisioning attribue un nom à la machine cible. Si la machine cible est un membre du domaine, le nom et le mot de passe attribués par le serveur de provisioning doivent coïncider avec les informations du compte d’ordinateur correspondant au sein du domaine. Dans le cas contraire, la machine cible ne peut pas ouvrir de session. Le serveur de provisioning doit par conséquent gérer les mots de passe de domaine pour les machines cibles qui partagent un disque virtuel.
Afin d’activer la gestion des mots de passe de domaine, vous devez désactiver la renégociation automatique contrôlée par Active Directory (ou domaine NT 4.0) des mots de passe de la machine. Ce processus est effectué en activant l’option Disable machine account password changes security policy au niveau du domaine ou de la machine cible. Le serveur de provisioning propose une option équivalente, via sa propre fonctionnalité Automatic Password Renegotiate.
Les machines cibles démarrées à partir de disques virtuels ne nécessitent plus de renégociation de mot de passe Active Directory. La configuration d’une stratégie afin de désactiver les changements de mots de passe au niveau du domaine s’applique à n’importe quel membre du domaine qui démarre à partir de disques durs locaux. Si les stratégies désactivant les modifications de mot de passe ne sont pas souhaitables pour votre environnement, désactivez les modifications de mot de passe de compte d’ordinateur au niveau local. Pour désactiver les changements de mots de passe du compte d’ordinateur, sélectionnez l’option Optimize lorsque vous créez une image de disque virtuel. Le paramètre s’applique à n’importe quelle machine cible qui démarre à partir de l’image de disque virtuel partagée.
Remarque :
Le serveur Citrix Provisioning ne modifie ni ne développe en aucun cas le schéma Active Directory. La fonction du serveur de provisioning est de créer ou de modifier les comptes d’ordinateur dans Active Directory, et de réinitialiser les mots de passe.
Lorsque la gestion des mots de passe de domaine est activée :
- un seul mot de passe est configuré pour la machine cible ;
- ce mot de passe est stocké dans le compte de domaine de l’ordinateur respectif ;
- les informations nécessaires à la réinitialisation du mot de passe de la machine cible sont fournies avant la connexion au domaine.
Processus de gestion du mot de passe
Une fois la gestion du mot passe activée, le processus de validation du mot de passe de domaine se présente comme suit :
- Création d’un compte d’ordinateur dans la base de données pour une machine cible, puis attribution d’un mot de passe au compte.
- Attribution d’un nom de compte à une machine cible à l’aide du service de streaming.
- Validation par le contrôleur de domaine du mot de passe fourni par la machine cible.
Activation de la gestion des domaines
Chaque machine cible qui ouvre une session sur un domaine doit être associée à un compte d’ordinateur sur le contrôleur de domaine. Ce compte d’ordinateur est soumis à un mot de passe géré par le système d’exploitation de bureau Windows et transparent pour l’utilisateur. Le mot de passe du compte est enregistré à la fois sur le contrôleur de domaine et sur la machine cible. En cas de divergence entre le mot de passe enregistré sur la machine cible et celui stocké sur le contrôleur de domaine, l’utilisateur ne peut plus ouvrir de session sur le domaine à partir de la machine cible.
Exécutez les tâches suivantes pour activer la gestion des domaines :
- Activation de la gestion des mots de passe du compte sur la machine
- Activation de la gestion automatique des mots de passe
Activation de la gestion des mots de passe du compte sur la machine
Pour activer la gestion des mots de passe du compte sur la machine, procédez comme suit :
- Cliquez avec le bouton droit de la souris sur un disque virtuel de la console Citrix Provisioning, puis sélectionnez l’option de menu File Properties.
- Dans l’onglet Options, sélectionnez Active Directory machine account password management.
- Cliquez sur OK, puis fermez la boîte de dialogue des propriétés et redémarrez le service de streaming.
Activation de la gestion automatique des mots de passe
Si vos machines cibles appartiennent à un domaine Active Directory et qu’elles partagent un disque virtuel, exécutez les tâches complémentaires suivantes.
Pour activer la prise en charge automatique des mots de passe, procédez comme suit :
- Cliquez avec le bouton droit de la souris sur un serveur de provisioning de la console, puis sélectionnez l’option de menu Properties.
- Sélectionnez l’option Enable automatic password support dans l’onglet Options.
- Définissez l’intervalle (en jours) entre deux modifications de mot de passe.
- Cliquez sur OK pour fermer la boîte de dialogue Server Properties.
- Redémarrez le service de streaming.
Gestion des comptes d’ordinateurs de domaine
Les tâches documentées ici doivent être effectuées à l’aide du serveur Citrix Provisioning, plutôt que dans Active Directory, afin de tirer le meilleur parti des fonctionnalités du produit.
Prise en charge des scénarios inter-forêts
Pour prendre en charge des scénarios inter-forêts :
- Assurez-vous que le DNS est correctement configuré. Veuillez consulter le site Internet de Microsoft pour obtenir des informations sur la manière de configurer un DNS pour une approbation de forêt.
- Assurez-vous que le niveau fonctionnel des deux forêts utilise la même version de Windows Server.
- Créez l’approbation de forêt. Pour créer un compte dans un domaine à partir d’une autre forêt, créez une approbation entrante de la forêt externe vers la forêt dans laquelle se trouve Citrix Provisioning.
Domaine parent/enfant
Une configuration inter-domaines commune implique que le serveur Citrix Provisioning réside dans un domaine parent avec des utilisateurs d’un ou plusieurs domaines enfant. Ces utilisateurs peuvent administrer Citrix Provisioning et gérer les comptes Active Directory au sein de leurs propres domaines.
Pour implémenter cette configuration :
-
Créez un groupe de sécurité dans le domaine enfant ; il peut s’agir d’un groupe de domaines universel, global ou local. Faites d’un utilisateur du domaine enfant un membre de ce groupe.
-
À partir de la console du serveur de provisioning, dans le domaine parent, faites du groupe de sécurité du domaine enfant un administrateur Citrix Provisioning.
-
Si l’utilisateur du domaine enfant n’a pas de privilèges Active Directory, utilisez Delegation Wizard dans la console de gestion Utilisateurs et Ordinateurs Active Directory. Utilisez cette méthode pour attribuer, créer et supprimer les droits du compte d’ordinateur de l’utilisateur pour l’unité d’organisation spécifiée.
-
Installez la console Citrix Provisioning dans le domaine enfant. Aucune configuration n’est requise. Connectez-vous au serveur de provisioning en tant qu’utilisateur du domaine enfant.
Configuration inter-forêts
Cette configuration est similaire au scénario inter-domaines. Toutefois, dans cette configuration, la console Citrix Provisioning, l’utilisateur et le groupe d’administrateurs sont dans un domaine d’une forêt distincte. Les étapes sont les mêmes que pour le scénario parent/enfant, sauf qu’il faut tout d’abord établir une approbation de forêt.
Remarque :
Microsoft recommande que les administrateurs ne délèguent aucun droit au conteneur d’ordinateurs par défaut. Il est recommandé de créer des comptes dans les unités d’organisation.
Attribution de privilèges d’administrateur Provisioning Services aux utilisateurs d’un autre domaine
Citrix recommande d’utiliser la méthode suivante. Pour les administrateurs basés sur les rôles où PVS se trouve dans un domaine et l’administrateur PVS se trouve dans un autre domaine, une approbation bidirectionnelle est requise.
- Ajoutez l’utilisateur à un groupe universel dans son propre domaine (et non le domaine Citrix Provisioning).
- Ajoutez ce groupe universel à un groupe de domaines local dans le domaine Citrix Provisioning.
- Faites de ce groupe de domaines local le groupe administrateur Citrix Provisioning.
Ajout de machines cibles à un domaine
Remarque :
Le nom de la machine utilisée pour l’image de disque virtuel ne doit plus être utilisé dans votre environnement.
- Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console. Vous pouvez également cliquer avec le bouton droit de la souris sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory, puis Create machine account. La boîte de dialogue Active Directory Management s’affiche.
- À partir de la liste déroulante Domain, sélectionnez le domaine auquel appartiennent les machines cibles. Dans la zone de texte Domain Controller, vous pouvez également taper le nom du contrôleur de domaine auquel sont ajoutées les machines cibles. Si vous laissez cette zone vide, le premier contrôleur de domaine détecté est utilisé.
- À partir de la liste déroulante Organization unit, sélectionnez ou tapez l’unité d’organisation à laquelle appartient la machine cible. La syntaxe est « parent/enfant » ; les listes sont séparées par des virgules. S’il est imbriqué, le parent est prioritaire.
- Cliquez sur le bouton Add devices afin d’ajouter les machines cibles sélectionnées au domaine et au contrôleur de domaine. Un message d’état s’affiche, indiquant si chaque machine cible a été correctement ajoutée. Cliquez sur Close pour fermer la boîte de dialogue.
Suppression de machines cibles d’un domaine
- Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console. Vous pouvez également cliquer avec le bouton droit de la souris sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory Management, puis Delete machine account. La boîte de dialogue Active Directory Management s’affiche.
- Dans le tableau Target Device, mettez en surbrillance les machines cibles supprimées du domaine, puis cliquez sur le bouton Delete Devices. Cliquez sur Close pour fermer la boîte de dialogue.
Réinitialisation des comptes d’ordinateurs
Remarque :
Un compte d’ordinateur Active Directory peut uniquement être réinitialisé lorsque la machine cible est inactive.
Pour réinitialiser des comptes d’ordinateurs pour des machines cibles dans un domaine Active Directory :
-
Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console. Vous pouvez également cliquer avec le bouton droit de la souris sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory Management, puis Reset machine account. La boîte de dialogue Active Directory Management s’affiche.
-
Dans le tableau Target Device, mettez en surbrillance les machines cibles devant être réinitialisées, puis cliquez sur le bouton Reset Devices.
Remarque :
Ajoutez cette machine cible à votre domaine lors de la configuration de la première machine cible.
-
Cliquez sur Close pour fermer la boîte de dialogue.
-
Désactivez la renégociation automatique des mots de passe par Windows Active Directory. Pour désactiver la renégociation automatique des mots de passe sur votre contrôleur de domaine, activez la stratégie de groupe suivante : Domain member: Disable machine account password changes.
Remarque :
Pour modifier cette stratégie de sécurité, vous devez bénéficier des autorisations nécessaires pour ajouter et modifier les comptes d’ordinateurs dans Active Directory. Vous pouvez désactiver les modifications du mot de passe du compte de la machine au niveau du domaine ou au niveau local. Si vous désactivez les modifications du mot de passe du compte de la machine au niveau du domaine, la modification s’applique à tous les membres du domaine. Si vous le faites au niveau local (en modifiant la stratégie de sécurité locale sur une machine cible connectée au disque virtuel en mode Private Image), la modification ne s’applique qu’aux machines cibles utilisant ce disque virtuel.
-
Démarrez chaque machine cible.
Activation basée sur Active Directory
Mettez à jour la configuration des licences de volume Microsoft pour un disque virtuel individuel à l’aide de l’activation basée sur Active Directory. Grâce à cette fonctionnalité, vous pouvez indiquer que le disque virtuel n’utilise aucune licence de volume.
Remarque :
Lors de l’utilisation des licences de volume Microsoft pour un disque virtuel, notez que les services KMS (Key Management Services), la clé d’activation multiple (MAK) et l’activation basée sur Active Directory (ADBA) ne peuvent pas être utilisés ensemble.
Pour améliorer l’activation basée sur Active Directory, procédez comme suit :
- Sur l’écran des propriétés du disque virtuel, définissez la propriété Microsoft Volume Licensing sur None.
- Sur la machine cible, utilisez
slmgr-dlv
pour une image Microsoft etcscript ospp.vbs/dstatus
pour une image Microsoft Office.
Conseil :
Il existe un problème connu où VAMT affiche des erreurs concernant les entrées CMID dupliquées pour les machines activées par ADBA. Ce problème se produit bien que ADBA n’utilise pas CMID. ADBA, bien que similaire au KMS, n’utilise pas CMID. Microsoft réutilise les données KMS lors de la compilation des informations CMID. L’image ci-dessous illustre un écran d’outil VAMT pour ADBA. L’écran Volume Activation by Type affiche les conflits pour les entrées CMID dupliquées pour ces périphériques.