Configuration des vDisks pour la gestion d’Active Directory
L’intégration de Citrix Provisioning et d’Active Directory permet aux administrateurs d’effectuer les tâches suivantes :
- sélectionner l’unité d’organisation (OU) Active Directory pour le compte d’ordinateur de machine cible Citrix Provisioning ;
- tirer parti des fonctionnalités de gestion d’Active Directory comme la délégation du contrôle et les stratégies de groupe ;
- configurer le serveur Citrix Provisioning pour gérer automatiquement les mots de passe des comptes d’ordinateurs des machines cibles.
Avant d’intégrer Active Directory dans la batterie, vérifiez que les conditions préalables suivantes sont réunies :
- La machine cible principale a été ajoutée au domaine avant la création du vDisk.
- L’option Disable Machine Account Password Changes a été sélectionnée lors de l’exécution de l’assistant d’optimisation d’images.
Une fois toutes les conditions préalables vérifiées, il est possible d’ajouter et d’attribuer de nouvelles machines cibles au vDisk. Un compte d’ordinateur est ensuite créé pour chaque machine cible.
Conseil :
L’exécution de la commande PowerShell
Add-PvsDeviceToDomain
sans spécifier de paramètre ajoute toutes les cibles de chaque site au conteneur de l’ordinateur dans Active Directory.
Gestion des mots de passe de domaine
Lorsque les machines cibles accèdent à leur propre vDisk en mode Private Image, la gestion des mots de passe de domaine ne nécessite aucune exigence particulière. Toutefois, lorsqu’une machine cible accède à un vDisk en mode Standard Image, le serveur de provisioning attribue un nom à la machine cible. Si la machine cible est un membre du domaine, le nom et le mot de passe attribués par le serveur de provisioning doivent coïncider avec les informations du compte d’ordinateur correspondant au sein du domaine. Dans le cas contraire, la machine cible ne peut pas ouvrir de session. Le serveur de provisioning doit par conséquent gérer les mots de passe de domaine pour les machines cibles qui partagent un vDisk.
Afin d’activer la gestion des mots de passe de domaine, vous devez désactiver la renégociation automatique contrôlée par Active Directory (ou domaine NT 4.0) des mots de passe de la machine. Ce processus est effectué en activant l’option Disable machine account password changes security policy au niveau du domaine ou de la machine cible. Le serveur de provisioning propose une option équivalente, via sa propre fonctionnalité Automatic Password Renegotiate.
Les machines cibles démarrées à partir de vDisks ne nécessitent plus de renégociation de mot de passe Active Directory. La configuration d’une stratégie afin de désactiver les changements de mots de passe au niveau du domaine s’applique à n’importe quel membre du domaine qui démarre à partir de disques durs locaux. Si les stratégies désactivant les modifications de mot de passe ne sont pas souhaitables pour votre environnement, désactivez les modifications de mot de passe de compte d’ordinateur au niveau local. Pour désactiver les changements de mots de passe du compte d’ordinateur, sélectionnez l’option Optimize lorsque vous créez une image de vDisk. Le paramètre s’applique à n’importe quelle machine cible qui démarre à partir de l’image vDisk partagée.
Remarque :
Le serveur Citrix Provisioning ne modifie ni ne développe en aucun cas le schéma Active Directory. La fonction du serveur de provisioning est de créer ou de modifier les comptes d’ordinateur dans Active Directory, et de réinitialiser les mots de passe.
Lorsque la gestion des mots de passe de domaine est activée :
- un seul mot de passe est configuré pour la machine cible ;
- ce mot de passe est stocké dans le compte de domaine de l’ordinateur respectif ;
- les informations nécessaires à la réinitialisation du mot de passe de la machine cible sont fournies avant la connexion au domaine.
Processus de gestion du mot de passe
Une fois la gestion du mot passe activée, le processus de validation du mot de passe de domaine se présente comme suit :
- Création d’un compte d’ordinateur dans la base de données pour une machine cible, puis attribution d’un mot de passe au compte.
- Attribution d’un nom de compte à une machine cible à l’aide du service de streaming.
- Validation par le contrôleur de domaine du mot de passe fourni par la machine cible.
Activation de la gestion des domaines
Chaque machine cible qui ouvre une session sur un domaine doit être associée à un compte d’ordinateur sur le contrôleur de domaine. Ce compte d’ordinateur est soumis à un mot de passe géré par le système d’exploitation de bureau Windows et transparent pour l’utilisateur. Le mot de passe du compte est enregistré à la fois sur le contrôleur de domaine et sur la machine cible. En cas de divergence entre le mot de passe enregistré sur la machine cible et celui stocké sur le contrôleur de domaine, l’utilisateur ne peut plus ouvrir de session sur le domaine à partir de la machine cible.
Exécutez les tâches suivantes pour activer la gestion des domaines :
- Activation de la gestion des mots de passe du compte sur la machine
- Activation de la gestion automatique des mots de passe
Activation de la gestion des mots de passe du compte sur la machine
Pour activer la gestion des mots de passe du compte sur la machine, procédez comme suit :
- Cliquez avec le bouton droit de la souris sur un vDisk de la console Citrix Provisioning, puis sélectionnez l’option de menu File Properties.
- Dans l’onglet Options, sélectionnez Active Directory machine account password management.
- Cliquez sur OK, puis fermez la boîte de dialogue des propriétés et redémarrez le service de streaming.
Activation de la gestion automatique des mots de passe
Si vos machines cibles appartiennent à un domaine Active Directory et qu’elles partagent un vDisk, exécutez les tâches complémentaires suivantes.
Pour activer la prise en charge automatique des mots de passe, procédez comme suit :
- Cliquez avec le bouton droit de la souris sur un serveur de provisioning de la console, puis sélectionnez l’option de menu Properties.
- Sélectionnez l’option Enable automatic password support dans l’onglet Options.
- Définissez l’intervalle (en jours) entre deux modifications de mot de passe.
- Cliquez sur OK pour fermer la boîte de dialogue Server Properties.
- Redémarrez le service de streaming.
Gestion des comptes d’ordinateurs de domaine
Les tâches documentées ici doivent être effectuées à l’aide du serveur Citrix Provisioning, plutôt que dans Active Directory, afin de tirer le meilleur parti des fonctionnalités du produit.
Prise en charge des scénarios inter-forêts
Pour prendre en charge des scénarios inter-forêts :
- Assurez-vous que le DNS est correctement configuré. Veuillez consulter le site Internet de Microsoft pour obtenir des informations sur la manière de configurer un DNS pour une approbation de forêt.
- Assurez-vous que le niveau fonctionnel des deux forêts utilise la même version de Windows Server.
- Créez l’approbation de forêt. Pour créer un compte dans un domaine à partir d’une autre forêt, créez une approbation entrante de la forêt externe vers la forêt dans laquelle se trouve Citrix Provisioning.
Domaine parent/enfant
Une configuration inter-domaines commune implique que le serveur Citrix Provisioning réside dans un domaine parent avec des utilisateurs d’un ou plusieurs domaines enfant. Ces utilisateurs peuvent administrer Citrix Provisioning et gérer les comptes Active Directory au sein de leurs propres domaines.
Pour implémenter cette configuration :
-
Créez un groupe de sécurité dans le domaine enfant ; il peut s’agir d’un groupe de domaines universel, global ou local. Faites d’un utilisateur du domaine enfant un membre de ce groupe.
-
À partir de la console du serveur de provisioning, dans le domaine parent, faites du groupe de sécurité du domaine enfant un administrateur Citrix Provisioning.
-
Si l’utilisateur du domaine enfant n’a pas de privilèges Active Directory, utilisez Delegation Wizard dans la console de gestion Utilisateurs et Ordinateurs Active Directory. Utilisez cette méthode pour attribuer, créer et supprimer les droits du compte d’ordinateur de l’utilisateur pour l’unité d’organisation spécifiée.
-
Installez la console Citrix Provisioning dans le domaine enfant. Aucune configuration n’est requise. Connectez-vous au serveur de provisioning en tant qu’utilisateur du domaine enfant.
Configuration inter-forêts
Cette configuration est similaire au scénario inter-domaines. Toutefois, dans cette configuration, la console Citrix Provisioning, l’utilisateur et le groupe d’administrateurs sont dans un domaine d’une forêt distincte. Les étapes sont les mêmes que pour le scénario parent/enfant, sauf qu’il faut tout d’abord établir une approbation de forêt.
Remarque :
Microsoft recommande que les administrateurs ne délèguent aucun droit au conteneur d’ordinateurs par défaut. Il est recommandé de créer des comptes dans les unités d’organisation.
Donner accès à la console Provisioning aux utilisateurs d’un autre domaine
Les groupes de rôles d’administration sont limités aux groupes du domaine natif et aux domaines avec une approbation bidirectionnelle au domaine natif. Lors de l’octroi de l’accès, tenez compte des éléments suivants :
- Domain1 représente le domaine contenant le serveur Provisioning Server et les comptes de service.
- Domain2 représente le domaine avec une approbation bidirectionnelle à Domain1. Il contient les comptes d’utilisateur auxquels l’accès à la console Provisioning a été accordé.
Pour accorder l’accès à la Console Provisioning aux utilisateurs d’un autre domaine :
- Créez un groupe local de domaine dans Domain2 et ajoutez le compte d’utilisateur à ce groupe.
- Connectez-vous à la console Provisioning à l’aide d’un compte administrateur existant.
- Cliquez sur Farm Properties. Sélectionnez l’onglet Groups.
- Dans le menu déroulant Domain, choisissez Domain2.
- Conservez le * pour afficher tous les groupes associés à Domain2, ou filtrez les groupes en entrant le nom du groupe que vous souhaitez ajouter. Cliquez sur Search.
- Sélectionnez le groupe en cochant la case correspondante. Cliquez sur Ajouter.
Ajout de machines cibles à un domaine
Remarque :
Le nom de la machine utilisée pour l’image vDisk ne doit plus être utilisé dans votre environnement.
- Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console. Vous pouvez également cliquer avec le bouton droit de la souris sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory, puis Create machine account. La boîte de dialogue Create Machine Accounts in Active Directory s’affiche.
- Dans la liste déroulante Domain, sélectionnez le domaine auquel appartient la machine cible ou saisissez le nom de domaine.
- À partir de la liste déroulante Organization unit, sélectionnez ou tapez l’unité d’organisation à laquelle appartient la machine cible. La syntaxe est « parent/enfant » ; les listes sont séparées par des virgules. S’il est imbriqué, le parent est prioritaire.
- Cliquez sur Create Account pour créer le compte dans le domaine sélectionné. Cliquez sur Close pour fermer la boîte de dialogue.
Suppression de machines cibles d’un domaine
- Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console. Vous pouvez également cliquer avec le bouton droit de la souris sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory, puis Delete machine account. La boîte de dialogue Delete Machine Accounts from Active Directory s’affiche.
- Dans le tableau Target Device, mettez en surbrillance les machines cibles que vous souhaitez supprimer du domaine, puis cliquez sur Delete Devices. Cliquez sur Close pour fermer la boîte de dialogue.
Réinitialisation des comptes d’ordinateurs
Remarque :
Un compte d’ordinateur Active Directory peut uniquement être réinitialisé lorsque la machine cible est inactive.
Pour réinitialiser des comptes d’ordinateurs pour des machines cibles dans un domaine Active Directory :
- Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console. Vous pouvez également cliquer avec le bouton droit de la souris sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory, puis Reset machine account. La boîte de dialogue Reset Machine Accounts Passwords in Active Directory s’affiche.
- Dans le tableau Target Device, mettez en surbrillance les machines cibles devant être réinitialisées, puis cliquez sur Reset Account.
- Cliquez sur Close pour fermer la boîte de dialogue.
-
Désactivez la renégociation automatique des mots de passe par Windows Active Directory. Pour désactiver la renégociation automatique des mots de passe sur votre contrôleur de domaine, activez la stratégie de groupe suivante : Domain member: Disable machine account password changes.
Remarque :
Pour modifier cette stratégie de sécurité, vous devez bénéficier des autorisations nécessaires pour ajouter et modifier les comptes d’ordinateurs dans Active Directory. Vous pouvez désactiver les modifications du mot de passe du compte de la machine au niveau du domaine ou au niveau local. Si vous désactivez les modifications du mot de passe du compte de la machine au niveau du domaine, la modification s’applique à tous les membres du domaine. Si vous le faites au niveau local (en modifiant la stratégie de sécurité locale sur une machine cible connectée au vDisk en mode Private Image), la modification ne s’applique qu’aux machines cibles utilisant ce vDisk.
- Démarrez chaque machine cible.
Ajouter des domaines non fiables à la liste des domaines
Citrix Provisioning prend en charge le provisioning de machines cibles dans des domaines non fiables. Pour ajouter un domaine non fiable à la liste des domaines, vous devez fournir des informations d’identification valides. Si les informations d’identification sont valides, le domaine non fiable est ajouté à la liste des domaines. Vous pouvez ensuite créer, supprimer ou réinitialiser des comptes dans Active Directory au sein du domaine sélectionné. Pour ajouter un domaine non approuvé, procédez comme suit :
-
Cliquez sur Add Domain.
-
Dans la boîte de dialogue AddDomainDialog, entrez le nom de domaine, le nom d’utilisateur et le mot de passe du domaine non fiable.
Activation basée sur Active Directory
Mettez à jour la configuration des licences de volume Microsoft pour un vDisk individuel à l’aide de l’activation basée sur Active Directory. Grâce à cette fonctionnalité, vous pouvez indiquer que le vDisk n’utilise aucune licence de volume.
Remarque :
Lors de l’utilisation des licences de volume Microsoft pour un vDisk, notez que les services KMS (Key Management Services), la clé d’activation multiple (MAK) et l’activation basée sur Active Directory (ADBA) ne peuvent pas être utilisés ensemble.
Pour améliorer l’activation basée sur Active Directory, procédez comme suit :
- Sur l’écran vDisk Properties, définissez la propriété vDisk Microsoft Volume Licensing sur None.
- Sur la machine cible, utilisez
slmgr-dlv
pour une image Microsoft etcscript ospp.vbs/dstatus
pour une image Microsoft Office.
Conseil :
Il existe un problème connu où VAMT affiche des erreurs concernant les entrées CMID dupliquées pour les machines activées par ADBA. Ce problème se produit bien que ADBA n’utilise pas CMID. ADBA, bien que similaire au KMS, n’utilise pas CMID. Microsoft réutilise les données KMS lors de la compilation des informations CMID. L’image ci-dessous illustre un écran d’outil VAMT pour ADBA. L’écran Volume Activation by Type affiche les conflits pour les entrées CMID dupliquées pour ces périphériques.