Configurar discos virtuales para la administración de Active Directory

La integración de Citrix Provisioning y Active Directory permite que los administradores:

  • Seleccionen la unidad organizativa (OU) de Active Directory en la que Citrix Provisioning debe crear una cuenta de equipo para el dispositivo de destino.
  • Aprovechen las funciones de administración de Active Directory, como la delegación de control y las directivas de grupo.
  • Configuren el servidor Provisioning para administrar de forma automática las contraseñas de las cuentas de equipo de los dispositivos de destino.

Antes de integrar Active Directory en la comunidad, compruebe que se cumplan los siguientes requisitos previos:

  • Se agregó el dispositivo de destino maestro al dominio antes de crear el disco virtual (vDisk).
  • Se seleccionó la opción “Disable Machine Account Password Changes” al ejecutar el asistente de optimización de imágenes durante la creación de imágenes.

Una vez comprobados todos los requisitos previos, se pueden agregar y asignar nuevos dispositivos de destino al disco virtual. A continuación, se debe crear una cuenta de equipo para cada dispositivo de destino.

Administrar contraseñas de dominio

Cuando los dispositivos de destino acceden a su propio disco virtual (vDisk) en Private Image Mode, no existen requisitos especiales para administrar las contraseñas de dominio. Sin embargo, cuando un dispositivo de destino accede a un disco virtual en Standard Image Mode, el servidor de Provisioning Services le asigna su nombre al dispositivo de destino. Si el dispositivo de destino pertenece a un dominio, el nombre y la contraseña que el servidor de Provisioning Services le asigna deben coincidir con la información de la cuenta de equipo correspondiente en el dominio. De lo contrario, el dispositivo de destino no puede iniciar sesión correctamente. Por este motivo, el servidor de Provisioning Services debe administrar las contraseñas de dominio para los dispositivos de destino que comparten un disco virtual.

Para habilitar la administración de contraseñas de dominio, es necesario inhabilitar la renegociación automática de contraseñas de equipos controlada por Active Directory (o un dominio de NT 4.0). Para este proceso, se debe habilitar la directiva de seguridad “Disable Machine Account Password Changes” en el dominio o el dispositivo de destino. El servidor Provisioning ofrece una funcionalidad equivalente a través de su propia función Automatic Password Renegotiate.

Si bien los dispositivos de destino que arrancan desde discos virtuales ya no requieren la renegociación de contraseñas de Active Directory, es necesario configurar una directiva para inhabilitar los cambios de contraseña en el dominio para todos los miembros de dominio que arrancan desde discos duros locales. Este enfoque puede no ser el adecuado para su entorno. Una mejor opción es inhabilitar los cambios de contraseña de las cuentas de equipo a nivel local. Para inhabilitar los cambios de contraseña de las cuentas de equipo, seleccione la opción “Optimize” cuando cree una imagen de disco virtual. Posteriormente, este parámetro se aplica a todos los dispositivos de destino que arrancan desde la imagen de disco virtual compartida.

Nota:

El servidor Provisioning no cambia de ninguna manera el esquema de Active Directory ni lo extiende. La función del servidor Provisioning es crear o modificar las cuentas de equipo en Active Directory y restablecer las contraseñas.

Cuando la administración de contraseñas de dominio se encuentra habilitada:

  • Establece una contraseña única para un dispositivo de destino.
  • Almacena esa contraseña en la cuenta de equipo de dominio correspondiente.
  • Brinda la información necesaria para restablecer la contraseña en el dispositivo de destino antes de iniciar sesión en el dominio.

Proceso de administración de contraseñas

Proceso de validación de contraseñas con Active Directory

Con la administración de contraseñas habilitada, el proceso de validación de contraseñas de dominio implica:

  • Crear una cuenta de equipo en la base de datos para un dispositivo de destino y asignar una contraseña a la cuenta.
  • Proporcionar un nombre de cuenta a un dispositivo de destino mediante Streaming Service.
  • Determinar que el controlador de dominio valide la contraseña suministrada por el dispositivo de destino.

Habilitar la administración de dominios

Cada dispositivo de destino que inicia sesión en un dominio requiere una cuenta de equipo en el controlador de dominio. Esta cuenta de equipo posee una contraseña que el sistema operativo del escritorio Windows mantiene y que es transparente para el usuario. La contraseña de la cuenta se almacena tanto en el controlador de dominio como en el dispositivo de destino. Si las contraseñas almacenadas en el dispositivo de destino y en el controlador de dominio no coinciden, el usuario no puede iniciar sesión en el dominio desde el dispositivo de destino.

La administración de dominios se activa completando las siguientes tareas:

  • Habilitar Machine Account Password Management
  • Habilitar Automatic Password Management

Habilitar Machine Account Password Management

Para habilitar la administración de contraseñas de cuentas de equipo, siga estos pasos:

  1. Haga clic con el botón secundario en un disco virtual (vDisk) de la consola y, a continuación, seleccione la opción de menú File Properties.
  2. En la ficha Options, seleccione Active Directory machine account password management.
  3. Haga clic en OK, cierre los cuadros de diálogo de propiedades y vuelva a iniciar Streaming Service.

Habilitar Automatic Password Management

Si los dispositivos de destino pertenecen a un dominio de Active Directory y comparten un disco virtual, deben completarse los siguientes pasos adicionales.

Para que se admitan contraseñas automáticas, lleve a cabo lo siguiente:

  1. Haga clic con el botón secundario en un servidor de Provisioning Services de la consola y seleccione la opción de menú Properties.
  2. En la ficha Options, seleccione la opción “Enable automatic password support”.
  3. Defina la cantidad de días entre los cambios de contraseña.
  4. Haga clic en OK para cerrar el cuadro de diálogo Server Properties.
  5. Reinicie Streaming Service.

Administrar cuentas de equipo de dominio

Las tareas que se describen aquí deben realizarse mediante el servidor Provisioning, en lugar de en Active Directory, para utilizar todas las funciones del producto.

Compatibilidad con entornos entre bosques

Para admitir entornos entre bosques:

  • El sistema de nombres de dominio (DNS) debe estar correctamente configurado. (Consulte el sitio web de Microsoft para obtener información sobre cómo preparar DNS para una confianza de bosque.)
  • El nivel funcional de ambos bosques debe ser la misma versión de Windows Server.
  • Cree la confianza de bosque. Para crear una cuenta en un dominio desde otro bosque, cree una confianza entrante desde el bosque externo al bosque donde reside Citrix Provisioning.

Entorno de dominio principal-secundario

Las configuraciones comunes entre dominios implican tener el servidor Provisioning en un dominio principal con usuarios de uno o varios dominios secundarios. Estos usuarios pueden administrar Citrix Provisioning y administrar cuentas de Active Directory desde sus propios dominios.

Para implementar esta configuración:

  1. Cree un grupo de seguridad en el dominio secundario; puede ser un grupo de dominio universal, global o local. Convierta un usuario del dominio secundario en miembro de este grupo.

  2. En Provisioning Server Console, en el dominio principal, convierta el grupo de seguridad del dominio secundario en un administrador de Citrix Provisioning.

  3. Si el usuario del dominio secundario no dispone de privilegios de Active Directory, utilice el componente “Asistente de delegación” en la consola de administración de Usuarios y equipos de Active Directory (MMC). Puede utilizar este método para asignar, crear y eliminar derechos de cuenta de equipo que tenga un usuario sobre la unidad organizativa especificada.

  4. Instale la consola de Citrix Provisioning en el dominio secundario. No se necesita configuración. Inicie sesión en el servidor Provisioning como usuario del dominio secundario.

Configuración entre bosques

Esta configuración es similar al caso entre dominios. Sin embargo, en esta configuración, el grupo de administrador, el usuario y la consola de Citrix Provisioning se encuentran en el dominio de otro bosque. Los pasos son los mismos que para el entorno de dominio principal-secundario, excepto en que primero se debe establecer una confianza de bosque.

Nota:

Microsoft recomienda no permitir que los administradores deleguen derechos al contenedor de equipos predeterminado. El procedimiento recomendado es crear cuentas en las unidades organizativas.

Conceder acceso a usuarios con privilegios de administrador de Provisioning Services de otro dominio

Citrix recomienda el siguiente método:

  1. Agregue el usuario a un grupo universal de su propio dominio (no del dominio de Citrix Provisioning).
  2. Agregue ese grupo universal a un grupo de dominio local en el dominio de Citrix Provisioning.
  3. Convierta ese grupo de dominio local en el grupo de administradores de Citrix Provisioning.

Agregar dispositivos de destino a un dominio

Nota:

El nombre de máquina utilizado para la imagen de disco virtual (vDisk) no se debe usar de nuevo en el entorno.

  1. Haga clic con el botón secundario en uno o varios dispositivos de destino en la ventana de la consola. O bien, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio. Seleccione Active Directory y, a continuación, Crear cuenta de equipo. Aparecerá el cuadro de diálogo Administración de Active Directory.
  2. En la lista “Dominio”, seleccione el dominio al que pertenece el dispositivo de destino. O bien, en el cuadro de texto Controlador de dominio, escriba el nombre del controlador de dominio al que deben agregarse los dispositivos de destino. Si deja el cuadro de texto vacío, se utiliza el primer controlador de dominio encontrado.
  3. En la lista desplegable de la unidad organizativa, seleccione o escriba la unidad organizativa a la que pertenece el dispositivo de destino. La sintaxis es “principal/secundario” y las listas están separadas por comas. Si el elemento está anidado, el principal va primero.
  4. Haga clic en el botón “Agregar dispositivos” para agregar los dispositivos de destino seleccionados al dominio y al controlador de dominio. Se mostrará un mensaje de estado para indicar si cada dispositivo de destino se agregó correctamente. Haga clic en Cerrar para cerrar el cuadro de diálogo.

Quitar dispositivos de destino de un dominio

  1. Haga clic con el botón secundario en uno o varios dispositivos de destino de la ventana de la consola (o bien, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio). Seleccione Administración de Active Directory y, a continuación, Eliminar cuenta de equipo. Aparecerá el cuadro de diálogo Administración de Active Directory.
  2. En la tabla “Dispositivo de destino”, resalte los dispositivos de destino a eliminar del dominio y, a continuación, haga clic en el botón Eliminar dispositivos. Haga clic en Cerrar para cerrar el cuadro de diálogo.

Restablecer cuentas de equipo

Nota:

Una cuenta de equipo de Active Directory solo puede restablecerse cuando el dispositivo de destino está inactivo.

Para restablecer las cuentas de equipo de los dispositivos de destino en un dominio de Active Directory:

  1. Haga clic con el botón secundario en uno o varios dispositivos de destino en la ventana de la consola. O bien, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio. Seleccione Administración de Active Directory y, a continuación, Restablecer cuenta de equipo. Aparecerá el cuadro de diálogo Administración de Active Directory.

  2. En la tabla Dispositivo de destino, resalte los dispositivos de destino que desea restablecer y, a continuación, haga clic en el botón Restablecer dispositivos.

    Nota:

    Este dispositivo de destino debe haberse agregado al dominio durante la preparación del primer dispositivo de destino.

  3. Haga clic en Cerrar para cerrar el cuadro de diálogo.

  4. Inhabilite la renegociación automática de contraseñas de Windows Active Directory. Para inhabilitar la renegociación automática de contraseñas en el controlador de dominio, habilite la siguiente directiva de grupo: “Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo”.

    Nota:

    Para realizar cambios en esta directiva de seguridad, debe iniciar sesión con los permisos suficientes para agregar y modificar cuentas de equipo en Active Directory. Puede optar por inhabilitar los cambios en las contraseñas de las cuentas de equipo a nivel de dominio o local. Si inhabilita los cambios en las contraseñas de las cuentas de equipo a nivel del dominio, el cambio se aplica a todos los miembros del dominio. Si realiza el cambio a nivel local (modificando la directiva de seguridad local en un dispositivo de destino conectado a un disco virtual en Private Image Mode), el cambio se aplica solamente a los dispositivos de destino que utilizan ese disco virtual.

  5. Arranque cada dispositivo de destino.

Activación basada en Active Directory

Puede actualizar la configuración de las licencias de volumen de Microsoft para el disco virtual individual. Para ello, use la activación basada en Active Directory. Con esta función, puede establecer que el disco virtual no use licencias de volumen.

Propiedades del disco virtual en las licencias por volumen de Microsoft

Nota:

Al usar las licencias de volumen de Microsoft para un disco virtual, tenga en cuenta que los Key Management Services (KMS), la clave de activación múltiple (MAK) y la activación basada en Active Directory (ADBA) no se pueden usar al mismo tiempo.

Para optimizar su experiencia con la activación basada en Active Directory:

  1. En la pantalla de Propiedad del disco virtual (vDisk), configure la propiedad de la licencia de Microsoft de vDisk como Ninguna.
  2. En el dispositivo de destino, use slmgr-dlv para una imagen de Microsoft y cscript ospp.vbs / dstatus para una imagen de Microsoft Office.

Sugerencia:

Existe un problema conocido por el que VAMT muestra errores sobre entradas duplicadas de CMID para dispositivos activados por Active Directory (ADBA). Este problema se da aunque ADBA no utilice CMID. A pesar de ser similar a Key Management Services (KMS), ADBA no usa CMID. Microsoft reutiliza los datos de KMS al compilar la información de CMID. En la siguiente imagen se muestra una pantalla de la herramienta VAMT para ADBA. El informe de Duplicate Client Machine ID muestra los conflictos causados por entradas CMID duplicadas para esos dispositivos.

Propiedades del disco virtual en las licencias por volumen de Microsoft

Versión

Configurar discos virtuales para la administración de Active Directory