Product Documentation

Verwalten von Domänencomputerkonten

Nov 16, 2015
Die folgenden Aufgaben werden normalerweise in der Verwaltungskonsole "Active Directory-Benutzer und -Computer" ausgeführt. Allerdings müssen diese Aktionen jetzt mit dem Provisioningserver ausgeführt werden, um die Produktfunktionen in vollem Umfang zu nutzen.
  • Unterstützen von strukturübergreifenden Szenarios
  • Gewähren von Provisioning Services-Administratorrechten für Benutzer einer anderen Domäne
  • Hinzufügen von Zielgeräten zu einer Domäne
  • Entfernen von Zielgeräten aus einer Domäne
  • Zurücksetzen von Computerkonten

Unterstützen von strukturübergreifenden Szenarios

Unterstützen strukturübergreifender Szenarios
  • Stellen Sie sicher, dass DNS ordnungsgemäß eingerichtet ist. (Auf der Website von Microsoft finden Sie Informationen über das Vorbereiten von DNS für eine Gesamtstruktur-Vertrauensstellung.)
  • Erhöhen Sie die Funktionsebene der Gesamtstruktur für beide Gesamtstrukturen auf Windows Server 2003.
  • Erstellen Sie die Gesamtstruktur-Vertrauensstellung. Damit Provisioning Services und der Benutzer der Provisioning Services-Domäne ein Konto in einer Domäne aus einer anderen Gesamtstruktur erstellen können, erstellen Sie einen Inbound Trust aus der externen Gesamtstruktur für die Gesamtstruktur, in der sich Provisioning Services befindet.

Hierarchisches Domänenszenario

Normalerweise enthält eine domänenübergreifende Konfiguration den Provisioningserver in einer übergeordneten Domäne und Benutzer von einer oder mehreren untergeordneten Domänen, die die Provisioning Services und Active Directory-Konten innerhalb ihrer eigenen Domänen verwalten möchten.

Implementieren dieser Konfiguration
  1. Erstellen Sie eine Sicherheitsgruppe in der untergeordneten Domäne. (Dies kann eine universelle, globale oder lokale Domänengruppe sein). Definieren Sie einen Benutzer aus der untergeordneten Domäne als Mitglied dieser Gruppe.

  2. Legen Sie in der Provisioningserver-Konsole in der übergeordneten Domäne die Sicherheitsgruppe der untergeordneten Domäne als Provisioning Services-Administrator fest.

  3. Falls der Benutzer der untergeordneten Domäne nicht über Active Directory-Berechtigungen verfügt, verwenden Sie den Delegierungs-Assistenten in der Active Directory-Benutzer und -Computer-Management-Konsole zum Zuweisen, Erstellen und Löschen von Benutzerberechtigungen für Computerkonten der angegebenen Organisationseinheit.
  4. Installieren Sie die Provisioning Services Console in der untergeordneten Domäne. Es ist keine Konfiguration erforderlich. Melden Sie sich am Provisioningserver als untergeordneter Domänenbenutzer an.

Strukturübergreifende Konfiguration

Diese Konfiguration entspricht dem domänenübergeifenden Szenario, außer dass die Provisioning Services Console, der Benutzer und die Provisioning Services-Administratorgruppe in einer Domäne sind, die sich in einer separaten Gesamtstruktur befinden. Die Schritte sind dieselben wie beim hierarchischen Szenario, außer dass zuerst eine Gesamtstruktur-Vertrauensstellung eingerichtet werden muss.

Hinweis: Microsoft empfiehlt, dass Administratoren ihre Rechte nicht an den standardmäßigen Computer-Container delegieren. Das optimale Verfahren besteht darin, in den Organisationseinheiten neue Konten zu erstellen.

Gewähren von Provisioning Services-Administratorrechten für Benutzer einer anderen Domäne

Benutzern, die zu einer anderen Domäne gehören, kann mit mehreren Methoden Provisioning Services-Administratorrechte zugewiesen werden. Allerdings wird die folgende Methode empfohlen:

  1. Fügen Sie den Benutzer einer universellen Gruppe in der eigenen Domäne hinzu (nicht in der Provisioning Services-Domäne).
  2. Fügen Sie diese universelle Gruppe einer lokalen Domänengruppe in der PVS-Domäne hinzu.
  3. Legen Sie diese lokale Domänengruppe als PVS Admin-Gruppe fest.

Hinzufügen von Zielgeräten zu einer Domäne

Hinzufügen von Zielgeräten zu einer Domäne
Hinweis: Der für das vDisk-Image verwendete Computername darf nie erneut in Ihrer Umgebung verwendet werden.
  1. Klicken Sie im Konsolenfenster mit der rechten Maustaste auf ein oder mehrere Zielgeräte (klicken Sie alternativ mit der rechten Maustaste auf die Gerätesammlung selbst, um alle Zielgeräte in dieser Sammlung zu einer Domäne hinzuzufügen). Wählen Sie Active Directory und anschließend Create machine account. Das Dialogfeld "Active Directory Management" wird angezeigt.
  2. Wählen Sie in der Domänenliste die Domäne aus, zu der die Zielgeräte gehören, oder geben Sie im Textfeld "Domain Controller" den Namen des Domänencontrollers ein, zu dem die Zielgeräte hinzugefügt werden sollen (wenn Sie das Textfeld leer lassen, wird der erste gefundene Domänencontroller verwendet).
  3. Wählen Sie aus der Liste "Organization Unit" (OU) die Organisationseinheit aus, zu der das Zielgerät gehört, bzw. geben Sie sie ein (die Syntax ist "übergeordnet/untergeordnet", Listenwerte werden durch Kommas getrennt; bei Verschachtelungen wird die übergeordnete Einheit zuerst genannt).
  4. Klicken Sie auf die Schaltfläche Add devices, um die ausgewählten Zielgeräte der Domäne und dem Domänencontroller hinzuzufügen. In einer Statusmeldung wird angegeben, ob die einzelnen Zielgeräte erfolgreich hinzugefügt wurden. Klicken Sie auf Close, um das Dialogfeld zu beenden.

Entfernen von Zielgeräten aus einer Domäne

Entfernen von Zielgeräten aus einer Domäne
  1. Klicken Sie im Konsolenfenster mit der rechten Maustaste auf ein oder mehrere Zielgeräte (klicken Sie alternativ mit der rechten Maustaste auf die Gerätesammlung selbst, um alle Zielgeräte in dieser Sammlung zu einer Domäne hinzuzufügen). Wählen Sie Active Directory Management und anschließend Delete machine account. Das Dialogfeld "Active Directory Management" wird angezeigt.
  2. Markieren Sie in der Tabelle "Target Device" die Zielgeräte, die Sie aus der Domäne entfernen möchten, und klicken Sie anschließend auf die Schaltfläche "Delete Devices". Klicken Sie auf Close, um das Dialogfeld zu beenden.

Zurücksetzen von Computerkonten

Hinweis: Active Directory-Computerkonten können nur zurückgesetzt werden, während das Zielgerät nicht aktiv ist.
Zurücksetzen von Computerkonten für Zielgeräte in einer Active Directory-Domäne
  1. Klicken Sie im Konsolenfenster mit der rechten Maustaste auf die Zielgeräte (klicken Sie alternativ mit der rechten Maustaste auf die Gerätesammlung selbst, um alle Zielgeräte in dieser Sammlung einer Domäne hinzuzufügen), wählen Sie Active Directory Management und dann Reset machine account. Das Dialogfeld "Active Directory Management" wird angezeigt.
  2. Markieren Sie in der Tabelle "Target Device" die Zielgeräte, die Sie zurücksetzen möchten, und klicken Sie anschließend auf die Schaltfläche Reset devices.
    Hinweis: Dieses Zielgerät sollte beim Vorbereiten des ersten Zielgeräts der Domäne hinzugefügt worden sein.
  3. Klicken Sie auf Close, um das Dialogfeld zu beenden.
  4. Deaktivieren Sie die automatische Neuaushandlung des Kennworts bei Windows Active Directory. Aktivieren Sie dazu auf dem Domänencontroller die folgende Gruppenrichtlinie: Domain member: Disable machine account password changes.
    Hinweis: Wenn Sie diese Sicherheitsrichtlinie ändern möchten, müssen Sie mit den entsprechenden Berechtigungen zum Hinzufügen und Ändern der Computerkonten in Active Directory angemeldet sein. Sie können das Ändern von Kontokennwörtern auf Domänenebene oder lokaler Ebene deaktivieren. Wenn Sie das Ändern von Computerkontokennwörtern auf Domänenebene deaktivieren, gilt dies für alle Mitglieder der Domäne. Wenn Sie dies auf lokaler Ebene deaktivieren (durch Ändern der lokalen Sicherheitsrichtlinie auf einem Zielgerät, das mit der vDisk im Privatimagemodus verbunden ist), gilt dies nur für Zielgeräte, die diese vDisk verwenden.
  5. Starten Sie alle Zielgeräte.