Konfigurieren von vDisks für die Active Directory-Verwaltung

Das Integrieren von Provisioning Services und Active Directory ermöglicht Administratoren Folgendes:

  • Auswählen der Active Directory-Organisationseinheit (OU, in der Provisioning Services ein Zielgerät-Computerkonto erstellt.
  • Nutzen von den Active Directory-Verwaltungsfunktionen, wie z. B. das Zuweisen der Objektverwaltung und Gruppenrichtlinien.
  • Konfigurieren des Provisioningservers, sodass er automatisch die Kontokennwörter von Zielgeräten verwaltet.

Bevor Sie Active Directory in die Farm integrieren, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Vor dem Erstellen der vDisk wurde das Masterzielgerät der Domäne hinzugefügt.
  • Beim Imaging wurde im Imageoptimierungsassistenten die Option Disable Machine Account Password Changes ausgewählt.

Wenn Sie alle Voraussetzungen überprüft haben, können Sie neue Zielgeräte hinzufügen und der vDisk zuweisen. Erstellen Sie anschließend für jedes Zielgerät ein Computerkonto.

Verwalten von Domänenkennwörtern

Wenn das Zielgerät im Privatimagemodus auf die eigene vDisk zugreift, gibt es keine spezifischen Anforderungen für das Verwalten von Domänenkennwörtern. Wenn der Zugriff auf die vDisk jedoch im Standardimagemodus erfolgt, wird der Name des Zielgeräts vom Provisioningserver zugewiesen. Ist das Zielgerät Mitglied der Domäne, müssen der vom Provisioningserver zugewiesene Name und das Kennwort mit dem Namen und dem Kennwort des entsprechenden Benutzerkontos in der Domäne übereinstimmen. Anderenfalls schlägt die Anmeldung des Zielgeräts fehl. Daher muss der Provisioningserver die Domänenkennwörter der Zielgeräte verwalten, die eine vDisk gemeinsam verwenden.

Zum Aktivieren der Verwaltung der Domänenkennwörter müssen Sie die von Active Directory (oder von der NT 4.0-Domäne) gesteuerte automatische Neuaushandlung der Computerkennwörter deaktivieren. Aktivieren Sie hierzu die Sicherheitsrichtlinie Änderungen von Computerkontokennwörtern deaktivieren auf Domänen- oder Zielgerätebene. Provision Server stellt mit der Funktion “Automatic Password Renegotiate” eine gleichwertige Funktionalität bereit.

Für Zielgeräte, die von vDisks starten, wird die Kennwortneuaushandlung von Active Directory nicht mehr benötigt. Wenn Sie die Richtlinie für das Deaktivieren von Kennwortänderungen jedoch auf Domänenebene konfiguriert haben, gilt sie auch für alle Domänenmitglieder, die von lokalen Festplatten starten. Dies ist unter Umständen nicht empfehlenswert. Deaktivieren Sie daher das Ändern von Kontokennwörtern auf lokaler Ebene. Wählen Sie hierzu beim Erstellen eines vDisk-Images die Option “Optimize”. Die Einstellung gilt dann für alle Zielgeräte, die vom freigegebenen vDisk-Image starten.

Hinweis:

Das Active Directory-Schema wird vom Provisioningserver nicht geändert oder erweitert. Die Funktion von Provisioningserver besteht darin, Computerkonten in Active Directory zu erstellen bzw. zu ändern und Kennwörter zurückzusetzen.

Wenn die Verwaltung der Domänenkennwörter aktiviert ist, werden folgende Aufgaben ausgeführt:

  • Festlegen eines eindeutigen Kennworts für das Zielgerät.
  • Speichern des Kennworts im entsprechenden Computerkonto der Domäne.
  • Bereitstellen der notwendigen Informationen zum Zurücksetzen des Kennworts auf dem Zielgerät, bevor es sich an der Domäne anmeldet.

Kennwortverwaltungsprozess

Kennwortvalidierung mit Active Directory

Wenn die Kennwortverwaltung aktiviert ist, umfasst die Validierung der Domänenkennwörter Folgendes:

  • Erstellen eines Computerkontos für das Zielgerät in der Datenbank und Zuweisen eines Kennworts für das Konto.
  • Bereitstellen des Kontonamens für das Zielgerät mit dem Streamdienst.
  • Validieren des vom Zielgerät angegebenen Kennworts mit dem Domänencontroller.

Aktivieren der Domänenverwaltung

Alle Zielgeräte, die sich an der Domäne anmelden, müssen ein Computerkonto auf dem Domänencontroller haben. Das Computerkonto ist mit einem Kennwort geschützt, das vom Windows Desktop-Betriebssystem verwaltet wird und für den Benutzer transparent ist. Das Kennwort für das Konto wird auf dem Domänencontroller und auf dem Zielgerät gespeichert. Wenn die Kennwörter auf dem Zielgerät und dem Domänencontroller nicht übereinstimmen, kann sich der Benutzer nicht vom Zielgerät aus an der Domäne anmelden.

Zum Aktivieren der Domänenverwaltung müssen Sie die folgenden Aufgaben durchführen:

  • Aktivieren der Verwaltung des Computerkontokennworts
  • Aktivieren der automatischen Kennwortverwaltung

Aktivieren der Verwaltung des Computerkontokennworts

Führen Sie die folgenden Schritte aus, um die Verwaltung des Computerkontokennworts zu aktivieren:

  1. Klicken Sie in der Konsole mit der rechten Maustaste auf eine vDisk und wählen Sie die Menüoption “File Properties”.
  2. Klicken Sie auf der Registerkarte “Options” auf Active Directory machine account password management.
  3. Klicken Sie auf OK. Schließen Sie die Eigenschaftendialogfelder und starten Sie den Streamdienst neu.

Aktivieren der automatischen Kennwortverwaltung

Wenn die Zielgeräte zu einer Active Directory-Domäne gehören und gemeinsam eine vDisk verwenden, sind die folgenden zusätzlichen Schritte erforderlich:

Führen Sie die folgenden Schritte aus, um die automatische Kennwortunterstützung zu aktivieren:

  1. Klicken Sie in der Konsole mit der rechten Maustaste auf einen Provisioningserver und wählen Sie die Menüoption “Properties”.
  2. Klicken Sie auf der Registerkarte “Options” auf “Enable automatic password support”.
  3. Geben Sie das Intervall in Tagen an, in dem das Kennwort geändert werden muss.
  4. Klicken Sie auf “OK”, um das Dialogfeld “Server Properties” zu schließen.
  5. Starten Sie den Streamdienst neu.

Verwalten von Domänencomputerkonten

Die hier dokumentierten Aufgaben müssen mit dem Provisioningserver statt in Active Directory ausgeführt werden, um die Produktfunktionen in vollem Umfang zu nutzen.

Unterstützen von strukturübergreifenden Szenarios

Unterstützen strukturübergreifender Szenarios

  • Stellen Sie sicher, dass DNS ordnungsgemäß eingerichtet ist. (Auf der Website von Microsoft finden Sie Informationen über das Vorbereiten von DNS für eine Gesamtstruktur-Vertrauensstellung.)
  • Stellen Sie sicher, dass die Funktionsebene der Gesamtstruktur für beide Gesamtstrukturen die gleiche Version von Windows Server ist.
  • Erstellen Sie die Gesamtstruktur-Vertrauensstellung. Damit Provisioning Services und der Benutzer der Provisioning Services-Domäne ein Konto in einer Domäne aus einer anderen Gesamtstruktur erstellen können, erstellen Sie einen Inbound Trust aus der externen Gesamtstruktur für die Gesamtstruktur, in der sich Provisioning Services befindet.

Hierarchisches Domänenszenario

Normalerweise enthält eine domänenübergreifende Konfiguration den Provisioningserver in einer übergeordneten Domäne und Benutzer von einer oder mehreren untergeordneten Domänen, die die Provisioning Services und Active Directory-Konten innerhalb ihrer eigenen Domänen verwalten möchten.

Implementieren dieser Konfiguration

  1. Erstellen Sie eine Sicherheitsgruppe in der untergeordneten Domäne. (Dies kann eine universelle, globale oder lokale Domänengruppe sein.) Machen Sie einen Benutzer aus der untergeordneten Domäne zu einem Mitglied dieser Gruppe.

  2. Legen Sie in der Provisioningserver-Konsole in der übergeordneten Domäne die Sicherheitsgruppe der untergeordneten Domäne als Provisioning Services-Administrator fest.

  3. Falls der Benutzer der untergeordneten Domäne nicht über Active Directory-Berechtigungen verfügt, verwenden Sie den Delegierungs-Assistenten in der Active Directory-Benutzer und -Computer-Management-Konsole zum Zuweisen, Erstellen und Löschen von Benutzerberechtigungen für Computerkonten der angegebenen Organisationseinheit.

  4. Installieren Sie die Provisioning Services Console in der untergeordneten Domäne. Es ist keine Konfiguration erforderlich. Melden Sie sich am Provisioningserver als untergeordneter Domänenbenutzer an.

Strukturübergreifende Konfiguration

Diese Konfiguration entspricht dem domänenübergeifenden Szenario, außer dass die Provisioning Services Console, der Benutzer und die Provisioning Services-Administratorgruppe in einer Domäne sind, die sich in einer separaten Gesamtstruktur befinden. Die Schritte sind dieselben wie beim hierarchischen Szenario, außer dass zuerst eine Gesamtstruktur-Vertrauensstellung eingerichtet werden muss.

Hinweis:

Microsoft empfiehlt, dass Administratoren ihre Rechte nicht an den standardmäßigen Computer-Container delegieren. Das optimale Verfahren besteht darin, in den Organisationseinheiten neue Konten zu erstellen.

Gewähren von Provisioning Services-Administratorrechten für Benutzer einer anderen Domäne

Citrix empfiehlt die folgende Methode:

  1. Fügen Sie den Benutzer einer universellen Gruppe in der eigenen Domäne hinzu (nicht in der Provisioning Services-Domäne).
  2. Fügen Sie diese universelle Gruppe einer lokalen Domänengruppe in der PVS-Domäne hinzu.
  3. Legen Sie diese lokale Domänengruppe als PVS Admin-Gruppe fest.

Hinzufügen von Zielgeräten zu einer Domäne

Hinweis:

Der für das vDisk-Image verwendete Maschinenname darf in der Umgebung nicht noch einmal verwendet werden.

  1. Klicken Sie im Konsolenfenster mit der rechten Maustaste auf ein oder mehrere Zielgeräte (klicken Sie alternativ mit der rechten Maustaste auf die Gerätesammlung selbst, um alle Zielgeräte in dieser Sammlung zu einer Domäne hinzuzufügen). Wählen Sie “Active Directory” und anschließend “Create machine account”. Das Dialogfeld “Active Directory Management” wird angezeigt.
  2. Wählen Sie in der Domänenliste die Domäne aus, zu der die Zielgeräte gehören, oder geben Sie im Textfeld “Domain Controller” den Namen des Domänencontrollers ein, zu dem die Zielgeräte hinzugefügt werden sollen (wenn Sie das Textfeld leer lassen, wird der erste gefundene Domänencontroller verwendet).
  3. Wählen Sie aus der Liste “Organization Unit” (OU) die Organisationseinheit aus, zu der das Zielgerät gehört, bzw. geben Sie sie ein (die Syntax ist “übergeordnet/untergeordnet”, Listenwerte werden durch Kommas getrennt; bei Verschachtelungen wird die übergeordnete Einheit zuerst genannt).
  4. Klicken Sie auf die Schaltfläche “Add devices”, um die ausgewählten Zielgeräte der Domäne und dem Domänencontroller hinzuzufügen. In einer Statusmeldung wird angegeben, ob die einzelnen Zielgeräte erfolgreich hinzugefügt wurden. Klicken Sie auf “Close”, um das Dialogfeld zu schließen.

Entfernen von Zielgeräten aus einer Domäne

  1. Klicken Sie im Konsolenfenster mit der rechten Maustaste auf ein oder mehrere Zielgeräte (klicken Sie alternativ mit der rechten Maustaste auf die Gerätesammlung selbst, um alle Zielgeräte in dieser Sammlung zu einer Domäne hinzuzufügen). Wählen Sie “Active Directory Management” und anschließend “Delete machine account”. Das Dialogfeld “Active Directory Management” wird angezeigt.
  2. Markieren Sie in der Tabelle “Target Device” die Zielgeräte, die Sie aus der Domäne entfernen möchten, und klicken Sie anschließend auf die Schaltfläche “Delete Devices”. Klicken Sie auf “Close”, um das Dialogfeld zu schließen.

Zurücksetzen von Computerkonten

Hinweis:

Active Directory-Computerkonten können nur zurückgesetzt werden, während das Zielgerät nicht aktiv ist.

Zurücksetzen von Computerkonten für Zielgeräte in einer Active Directory-Domäne

  1. Klicken Sie im Konsolenfenster mit der rechten Maustaste auf die Zielgeräte (klicken Sie alternativ mit der rechten Maustaste auf die Gerätesammlung selbst, um alle Zielgeräte in dieser Sammlung einer Domäne hinzuzufügen), wählen Sie “Active Directory Management” und dann “Reset machine account”. Das Dialogfeld “Active Directory Management” wird angezeigt.

  2. Markieren Sie in der Tabelle “Target Device” die Zielgeräte, die Sie zurücksetzen möchten, und klicken Sie anschließend auf die Schaltfläche “Reset devices”.

    Hinweis:

    Dieses Zielgerät sollte beim Vorbereiten des ersten Zielgeräts der Domäne hinzugefügt worden sein.

  3. Klicken Sie auf Close, um das Dialogfeld zu beenden.

  4. Deaktivieren Sie die automatische Neuaushandlung des Kennworts bei Windows Active Directory. Aktivieren Sie hierfür auf dem Domänencontroller die folgende Gruppenrichtlinie: Domain member: Disable machine account password changes.

    Hinweis:

    Wenn Sie diese Sicherheitsrichtlinie ändern möchten, müssen Sie mit den entsprechenden Berechtigungen zum Hinzufügen und Ändern der Computerkonten in Active Directory angemeldet sein. Sie können das Ändern von Kontokennwörtern auf Domänenebene oder lokaler Ebene deaktivieren. Wenn Sie das Ändern von Computerkontokennwörtern auf Domänenebene deaktivieren, gilt dies für alle Mitglieder der Domäne. Wenn Sie dies auf lokaler Ebene deaktivieren (durch Ändern der lokalen Sicherheitsrichtlinie auf einem Zielgerät, das mit der vDisk im Privatimagemodus verbunden ist), gilt dies nur für Zielgeräte, die diese vDisk verwenden.

  5. Starten Sie alle Zielgeräte.

Konfigurieren von vDisks für die Active Directory-Verwaltung