Product Documentation

Administración de cuentas de equipo de dominio

Nov 02, 2016
Las tareas que se describen aquí deben realizarse mediante el servidor de Provisioning Services, en lugar de en Active Directory, para aprovechar todas las funciones del producto.

Respaldo para entornos entre bosques

Para respaldar entornos entre bosques:
  • Asegúrese de que el sistema de nombres de dominio (DNS) se encuentre configurado correctamente. (Consulte el sitio Web de Microsoft para obtener información sobre la forma de preparar DNS para una confianza de bosque.)
  • Asegúrese de que el nivel funcional de bosque de ambos bosques sea la misma versión de Windows Server.
  • Cree la confianza de bosque. Si desea que Provisioning Services y el usuario del dominio de Provisioning Services puedan crear una cuenta en un dominio de otro bosque, establezca una confianza de entrada desde un bosque externo hacia el bosque en el que se encuentra Provisioning Services.

Entorno de dominio principal-secundario

Una configuración común entre dominios incluye el servidor de Provisioning Services en el dominio principal y los usuarios, de uno o varios dominios secundarios, que desean administrar Provisioning Services y las cuentas de Active Directory dentro de sus propios dominios.

Para implementar esta configuración:
  1. Cree un grupo de seguridad en el dominio secundario. (Puede ser un grupo de dominio local, universal o global). Convierta un usuario del dominio secundario en miembro de este grupo.

  2. En Provisioning Server Console, en el dominio principal, convierta el grupo de seguridad del dominio secundario en un administrador de Provisioning Services.

  3. Si el usuario del dominio secundario no dispone de privilegios de Active Directory, utilice el componente Asistente de delegación en la consola de administración de Usuarios y equipos de Active Directory (MMC) para asignar, crear y eliminar derechos de cuenta de equipo para un usuario en la unidad organizativa especificada.
  4. Instale Provisioning Services Console en el dominio secundario. No se necesita configuración. Inicie sesión en el servidor de Provisioning Services como usuario del dominio secundario.

Configuración entre bosques

Esta configuración es similar a la configuración entre dominios, excepto en que Provisioning Services Console, el usuario y el grupo de administradores de Provisioning Services se encuentran en un dominio de otro bosque. Los pasos son los mismos que para el entorno de dominio principal-secundario, excepto en que primero se debe establecer una confianza de bosque.

Nota

Microsoft recomienda no permitir que los administradores deleguen derechos al contenedor de equipos predeterminado. El procedimiento recomendado es crear cuentas nuevas en las unidades organizativas.

Concesión de acceso a usuarios con privilegios de administrador de Provisioning Services de otro dominio

Citrix recomienda el siguiente método:

  1. Agregue el usuario a un grupo universal de su propio dominio (no del dominio de Provisioning Services).
  2. Agregue ese grupo universal a un grupo de dominio local en el dominio de PVS.
  3. Convierta ese grupo de dominio local en el grupo de administradores de PVS.

Incorporación de dispositivos de destino a un dominio

Para agregar dispositivos de destino a un dominio:
Nota: El nombre de máquina utilizado para la imagen de disco virtual (vDisk) no se debe usar de nuevo en el entorno.
  1. Haga clic con el botón secundario en uno o varios dispositivos de destino de la ventana de la consola (o bien, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio). Seleccione Active Directory y, a continuación, Crear cuenta de equipo. Aparecerá el cuadro de diálogo Administración de Active Directory.
  2. En la lista desplegable Dominio, seleccione el dominio al que pertenecen los dispositivos de destino o, en el cuadro de texto Controlador de dominio, escriba el nombre del controlador de dominio al que desea agregar los dispositivos de destino (si se deja el cuadro de texto vacío, se utiliza el primer controlador de dominio encontrado).
  3. En la lista desplegable Unidad organizativa (OU), seleccione o escriba la unidad organizativa a la que pertenece el dispositivo de destino (la sintaxis es "principal/secundario" y las listas están separadas por coma; si se encuentra anidado, el principal va primero).
  4. Haga clic en el botón Agregar dispositivos para agregar los dispositivos de destino seleccionados al dominio y al controlador de dominio. Se mostrará un mensaje de estado para indicar si cada dispositivo de destino se agregó correctamente. Haga clic en Cerrar para cerrar el cuadro de diálogo.

Eliminación de dispositivos de destino de un dominio

  1. Haga clic con el botón secundario en uno o varios dispositivos de destino de la ventana de la consola (o bien, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio). Seleccione Administración de Active Directory y, a continuación, Eliminar cuenta de equipo. Aparecerá el cuadro de diálogo Administración de Active Directory.
  2. En la tabla Dispositivo de destino, resalte los dispositivos de destino que desea eliminar del dominio y, a continuación, haga clic en el botón Eliminar dispositivos. Haga clic en Cerrar para cerrar el cuadro de diálogo.

Restablecimiento de cuentas de equipo

Nota: Una cuenta de equipo de Active Directory solo puede restablecerse cuando el dispositivo de destino está inactivo.
Para restablecer las cuentas de equipo de los dispositivos de destino en un dominio de Active Directory:
  1. Haga clic con el botón secundario en uno o varios dispositivos de destino de la ventana de la consola (o bien, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio), seleccione Administración de Active Directory y, a continuación, elija Restablecer cuenta de equipo. Aparecerá el cuadro de diálogo Administración de Active Directory.
  2. En la tabla Dispositivo de destino, resalte los dispositivos de destino que desea restablecer y, a continuación, haga clic en el botón Restablecer dispositivos.
    Nota: Este dispositivo de destino debe haberse agregado al dominio durante la preparación del primer dispositivo de destino.
  3. Haga clic en Cerrar para cerrar el cuadro de diálogo.
  4. Inhabilite la renegociación automática de contraseñas de Windows Active Directory. Para ello, en el controlador de dominio, habilite la siguiente directiva de grupo: Miembro de dominio: inhabilitar los cambios de contraseña de cuentas de equipo.
    Nota: Para realizar cambios en esta directiva de seguridad, debe iniciar sesión con los permisos suficientes para agregar y modificar cuentas de equipo en Active Directory. Puede optar por inhabilitar los cambios en las contraseñas de las cuentas de equipo a nivel de dominio o local. Si inhabilita los cambios en las contraseñas de las cuentas de equipo a nivel del dominio, el cambio se aplica a todos los miembros del dominio. Si realiza el cambio a nivel local (modificando la directiva de seguridad local en un dispositivo de destino conectado a un disco virtual en Private Image Mode), el cambio se aplica solamente a los dispositivos de destino que utilizan ese disco virtual.
  5. Arranque cada dispositivo de destino.