ドメインパスワードの管理

ターゲットデバイスがプライベートイメージモードのvDiskにアクセスする場合、ドメインパスワードの管理に特別な要件はありません。ただし、ターゲットデバイスが標準イメージモードのvDiskにアクセスする場合、Provisioningサーバーによってターゲットデバイスの名前が割り当てられます。ターゲットデバイスがドメインのメンバーである場合、Provisioningサーバーによって割り当てられる名前とパスワードが、ドメイン内の対応するコンピューターアカウントの情報と一致する必要があります。一致しない場合、ターゲットデバイスはドメインにログオンできません。このため、vDiskを共有するターゲットデバイスについてはProvisioningサーバーでドメインパスワードを管理する必要があります。

ドメインパスワードの管理を有効にするには、Active Directory(またはNT 4.0のドメイン)により制御されるコンピューターアカウントパスワードの自動再ネゴシエーションを無効にする必要があります。これは、ドメイン単位またはターゲットデバイス単位でセキュリティポリシーの[コンピューターアカウントパスワード:定期的な変更を無効にする]を有効にすることによって行います。Provisioningサーバーは、独自のパスワードの自動再ネゴシエーション機能を介して同等の機能を提供します。

ドメイン単位でパスワードの定期的な変更が無効になるようにポリシーを構成すると、vDiskから起動するターゲットデバイスにActive Directoryのパスワード再ネゴシエーションが不要になる一方で、ローカルハードドライブから起動するドメインメンバーにもこのポリシーが適用されます。このことは望ましくない可能性があります。その場合は、ローカルコンピューターの単位でコンピューターアカウントパスワードの変更を無効にする方がよい選択肢です。このためには、vDiskイメージを作成するときに最適化オプションを選択します。この設定は共有vDiskイメージから起動するどのターゲットデバイスにも適用されます。

注:Provisioning Servicesは、Active Directoryのスキーマを変更したり拡張したりすることはありません。Provisioning Servicesの機能は、Active Directoryにコンピューターアカウントを作成し、そのアカウントを変更し、パスワードをリセットすることです。

ドメインパスワードの管理を有効にすると、次のことが行われます。

  • ターゲットデバイスに一意のパスワードを設定します。
  • 個々のドメインコンピューターアカウントにパスワードを格納します。
  • ターゲットデバイスがドメインにログオンする前に、ターゲットデバイスでパスワードをリセットするために必要な情報を付与します。

パスワード管理のプロセス

Active Directoryと組み合わせたパスワード検証プロセス

パスワード管理が有効な場合、ドメインパスワードの検証プロセスには次の処理が含まれます。

  • データベースにターゲットデバイスのコンピューターアカウントを作成し、そのアカウントにパスワードを割り当てます。
  • Stream Serviceによりアカウント名をターゲットデバイスに提供します。
  • ドメインコントローラーでターゲットデバイスにより提供されるパスワードを検証します。
ドメインパスワードの管理

この記事の概要