Gestion des comptes d’ordinateurs de domaine
Les tâches documentées ici doivent être effectuées à l’aide du serveur Provisioning Server, plutôt que dans Active Directory, afin de tirer le meilleur parti des fonctionnalités du produit.
Configuration inter-forêts
Cette configuration est similaire au scénario inter-domaines. Toutefois, dans cette configuration, la console Citrix Provisioning, l’utilisateur et le groupe d’administrateurs sont dans un domaine d’une forêt distincte. Les étapes sont les mêmes que pour le scénario parent/enfant, sauf qu’il faut tout d’abord établir une approbation de forêt.
Remarque :
Microsoft recommande que les administrateurs ne délèguent aucun droit au conteneur d’ordinateurs par défaut. Il est recommandé de créer des comptes dans les unités d’organisation.
Attribution de privilèges d’administrateur Provisioning Services aux utilisateurs d’un autre domaine
Citrix recommande d’utiliser la méthode suivante. Pour les administrateurs basés sur les rôles où PVS se trouve dans un domaine et l’administrateur PVS se trouve dans un autre domaine, une approbation bidirectionnelle est requise.
- Ajoutez l’utilisateur à un groupe universel dans son propre domaine (et non le domaine Citrix Provisioning).
- Ajoutez ce groupe universel à un groupe de domaines local dans le domaine Citrix Provisioning.
- Faites de ce groupe de domaines local le groupe administrateur Citrix Provisioning.
Ajout de machines cibles à un domaine
Remarque :
Le nom de la machine utilisée pour l’image de disque virtuel ne doit plus être utilisé dans votre environnement.
- Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console. Vous pouvez également cliquer avec le bouton droit de la souris sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory, puis Create machine account. La boîte de dialogue Active Directory Management s’affiche.
- À partir de la liste déroulante Domain, sélectionnez le domaine auquel appartiennent les machines cibles. Dans la zone de texte Domain Controller, vous pouvez également taper le nom du contrôleur de domaine auquel sont ajoutées les machines cibles. Si vous laissez cette zone vide, le premier contrôleur de domaine détecté est utilisé.
- À partir de la liste déroulante Organization unit, sélectionnez ou tapez l’unité d’organisation à laquelle appartient la machine cible. La syntaxe est « parent/enfant » ; les listes sont séparées par des virgules. S’il est imbriqué, le parent est prioritaire.
- Cliquez sur le bouton Add devices afin d’ajouter les machines cibles sélectionnées au domaine et au contrôleur de domaine. Un message d’état s’affiche, indiquant si chaque machine cible a été correctement ajoutée. Cliquez sur Close pour fermer la boîte de dialogue.
Suppression de machines cibles d’un domaine
- Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console. Vous pouvez également cliquer avec le bouton droit de la souris sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory Management, puis Delete machine account. La boîte de dialogue Active Directory Management s’affiche.
- Dans le tableau Target Device, mettez en surbrillance les machines cibles supprimées du domaine, puis cliquez sur le bouton Delete Devices. Cliquez sur Close pour fermer la boîte de dialogue.
Réinitialisation des comptes d’ordinateurs
Remarque :
Un compte d’ordinateur Active Directory peut uniquement être réinitialisé lorsque la machine cible est inactive.
Pour réinitialiser des comptes d’ordinateurs pour des machines cibles dans un domaine Active Directory :
-
Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console. Vous pouvez également cliquer avec le bouton droit de la souris sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory Management, puis Reset machine account. La boîte de dialogue Active Directory Management s’affiche.
-
Dans le tableau Target Device, mettez en surbrillance les machines cibles devant être réinitialisées, puis cliquez sur le bouton Reset Devices.
Remarque :
Ajoutez cette machine cible à votre domaine lors de la configuration de la première machine cible.
-
Cliquez sur Close pour fermer la boîte de dialogue.
-
Désactivez la renégociation automatique des mots de passe par Windows Active Directory. Pour désactiver la renégociation automatique des mots de passe sur votre contrôleur de domaine, activez la stratégie de groupe suivante : Domain member: Disable machine account password changes.
Remarque :
Pour modifier cette stratégie de sécurité, vous devez bénéficier des autorisations nécessaires pour ajouter et modifier les comptes d’ordinateurs dans Active Directory. Vous pouvez désactiver les modifications du mot de passe du compte de la machine au niveau du domaine ou au niveau local. Si vous désactivez les modifications du mot de passe du compte de la machine au niveau du domaine, la modification s’applique à tous les membres du domaine. Si vous le faites au niveau local (en modifiant la stratégie de sécurité locale sur une machine cible connectée au disque virtuel en mode Private Image), la modification ne s’applique qu’aux machines cibles utilisant ce disque virtuel.
-
Démarrez chaque machine cible.