Configurar discos virtuales para la administración de Active Directory

La integración de Provisioning Services y Active Directory permite a los administradores:

  • Seleccionar la unidad organizativa (OU) de Active Directory en la que Provisioning Services debe crear una cuenta de equipo para el dispositivo de destino.
  • Aprovechar las funciones de administración de Active Directory, como la delegación de control y las directivas de grupo.
  • Configurar el servidor de Provisioning Services para administrar de forma automática las contraseñas de las cuentas de equipo de los dispositivos de destino.

Antes de integrar Active Directory con la comunidad, compruebe que se cumplan los siguientes requisitos previos:

  • Se agregó el dispositivo de destino maestro al dominio antes de crear el disco virtual (vDisk).
  • Se seleccionó la opción Deshabilitar cambios de contraseña de cuentas de equipo al ejecutar el asistente de optimización de imágenes durante la creación de imágenes.

Una vez comprobados todos los requisitos previos, se pueden agregar y asignar nuevos dispositivos de destino al disco virtual. A continuación, se debe crear una cuenta de equipo para cada dispositivo de destino.

Administrar contraseñas de dominio

Cuando los dispositivos de destino acceden a su propio disco virtual (vDisk) en Private Image Mode, no existen requisitos especiales para administrar las contraseñas de dominio. Sin embargo, cuando un dispositivo de destino accede a un disco virtual en Standard Image Mode, el servidor de Provisioning Services le asigna su nombre al dispositivo de destino. Si el dispositivo de destino pertenece a un dominio, el nombre y la contraseña que el servidor de Provisioning Services le asigna deben coincidir con la información de la cuenta de equipo correspondiente en el dominio. De lo contrario, el dispositivo de destino no puede iniciar sesión correctamente. Por este motivo, el servidor de Provisioning Services debe administrar las contraseñas de dominio para los dispositivos de destino que comparten un disco virtual.

Para habilitar la administración de contraseñas de dominio, es necesario inhabilitar la renegociación automática de contraseñas de equipos controlada por Active Directory (o un dominio de NT 4.0). Para esto, se debe habilitar la directiva de seguridad Deshabilitar los cambios de contraseña de cuentas de equipo en el dominio o el dispositivo de destino. El servidor de Provisioning Services ofrece una funcionalidad equivalente a través de su propia función Automatic Password Renegotiate.

Si bien los dispositivos de destino que arrancan desde discos virtuales ya no requieren la renegociación de contraseñas de Active Directory, es necesario configurar una directiva para inhabilitar los cambios de contraseña en el dominio para todos los miembros de dominio que arrancan desde discos duros locales. Esto puede no ser conveniente. Una mejor opción es inhabilitar los cambios de contraseña de las cuentas de equipo a nivel local. Para realizar esta acción, seleccione la opción Optimize cuando se crea una imagen de disco virtual (vDisk). Posteriormente, este parámetro se aplica a todos los dispositivos de destino que arrancan desde la imagen de disco virtual compartida.

Nota:

El servidor de Provisioning Services no cambia de ninguna manera el esquema de Active Directory ni lo extiende. La función del servidor de Provisioning Services es crear o modificar las cuentas de equipo en Active Directory y restablecer las contraseñas.

Cuando la administración de contraseñas de dominio se encuentra habilitada:

  • Establece una contraseña única para un dispositivo de destino.
  • Almacena esa contraseña en la cuenta de equipo de dominio correspondiente.
  • Brinda la información necesaria para restablecer la contraseña en el dispositivo de destino antes de iniciar sesión en el dominio.

Proceso de administración de contraseñas

Proceso de validación de contraseñas con Active Directory

Con la administración de contraseñas habilitada, el proceso de validación de contraseñas de dominio implica:

  • Crear una cuenta de equipo en la base de datos para un dispositivo de destino y asignar una contraseña a la cuenta.
  • Proporcionar un nombre de cuenta a un dispositivo de destino mediante Streaming Service.
  • Determinar que el controlador de dominio valide la contraseña suministrada por el dispositivo de destino.

Habilitar la administración de dominios

Cada dispositivo de destino que inicia sesión en un dominio requiere una cuenta de equipo en el controlador de dominio. Esta cuenta de equipo posee una contraseña que el sistema operativo del escritorio Windows mantiene y que es transparente para el usuario. La contraseña de la cuenta se almacena tanto en el controlador de dominio como en el dispositivo de destino. Si las contraseñas almacenadas en el dispositivo de destino y en el controlador de dominio no coinciden, el usuario no puede iniciar sesión en el dominio desde el dispositivo de destino.

La administración de dominios se activa completando las siguientes tareas:

  • Habilitar Machine Account Password Management
  • Habilitar Automatic Password Management

Habilitar Machine Account Password Management

Para habilitar la administración de contraseñas de cuentas de equipo, siga estos pasos:

  1. Haga clic con el botón secundario en un disco virtual (vDisk) de la consola y, a continuación, seleccione la opción de menú File Properties.
  2. En la ficha Options, seleccione Active Directory machine account password management.
  3. Haga clic en OK, cierre los cuadros de diálogo de propiedades y vuelva a iniciar Streaming Service.

Habilitar Automatic Password Management

Si los dos dispositivos de destino pertenecen a un dominio de Active Directory y comparten un disco virtual, deben completarse los siguientes pasos adicionales:

Para habilitar el respaldo de contraseñas automáticas

  1. Haga clic con el botón secundario en un servidor de Provisioning Services de la consola y seleccione la opción de menú Properties.
  2. En la ficha Options, seleccione la opción Enable automatic password support.
  3. Defina la cantidad de días entre los cambios de contraseña.
  4. Haga clic en OK para cerrar el cuadro de diálogo Server Properties.
  5. Reinicie Streaming Service.

Administrar cuentas de equipo de dominio

Las tareas que se describen aquí deben realizarse mediante el servidor de Provisioning Services, en lugar de en Active Directory, para aprovechar todas las funciones del producto.

Respaldo para entornos entre bosques

Para respaldar entornos entre bosques:

  • Asegúrese de que el sistema de nombres de dominio (DNS) se encuentre configurado correctamente. (Consulte el sitio Web de Microsoft para obtener información sobre cómo preparar DNS para una confianza de bosque.)
  • Asegúrese de que el nivel funcional de bosque de ambos bosques sea la misma versión de Windows Server.
  • Cree la confianza de bosque. Si desea que Provisioning Services y el usuario del dominio de Provisioning Services puedan crear una cuenta en un dominio de otro bosque, establezca una confianza de entrada desde un bosque externo hacia el bosque en el que se encuentra Provisioning Services.

Entorno de dominio principal-secundario

Una configuración común entre dominios incluye el servidor de Provisioning Services en el dominio principal y los usuarios, de uno o varios dominios secundarios, que desean administrar Provisioning Services y las cuentas de Active Directory dentro de sus propios dominios.

Para implementar esta configuración:

  1. Cree un grupo de seguridad en el dominio secundario. (Puede ser un grupo de dominio local, universal o global.) Convierta un usuario del dominio secundario en miembro de este grupo.

  2. En Provisioning Server Console, en el dominio principal, convierta el grupo de seguridad del dominio secundario en un administrador de Provisioning Services.

  3. Si el usuario del dominio secundario no dispone de privilegios de Active Directory, utilice el componente Asistente de delegación en la consola de administración de Usuarios y equipos de Active Directory (MMC) para asignar, crear y eliminar derechos de cuenta de equipo para un usuario en la unidad organizativa especificada.

  4. Instale Provisioning Services Console en el dominio secundario. No se necesita configuración. Inicie sesión en el servidor de Provisioning Services como usuario del dominio secundario.

Configuración entre bosques

Esta configuración es similar a la configuración entre dominios, excepto en que Provisioning Services Console, el usuario y el grupo de administradores de Provisioning Services se encuentran en un dominio de otro bosque. Los pasos son los mismos que para el entorno de dominio principal-secundario, excepto en que primero se debe establecer una confianza de bosque.

Nota:

Microsoft recomienda no permitir que los administradores deleguen derechos al contenedor de equipos predeterminado. El procedimiento recomendado es crear cuentas nuevas en las unidades organizativas.

Conceder acceso a usuarios con privilegios de administrador de Provisioning Services de otro dominio

Citrix recomienda el siguiente método:

  1. Agregue el usuario a un grupo universal de su propio dominio (no del dominio de Provisioning Services).
  2. Agregue ese grupo universal a un grupo de dominio local en el dominio de PVS.
  3. Convierta ese grupo de dominio local en el grupo de administradores de PVS.

Agregar dispositivos de destino a un dominio

Nota:

El nombre de máquina utilizado para la imagen de disco virtual (vDisk) no se debe usar de nuevo en el entorno.

  1. Haga clic con el botón secundario en uno o varios dispositivos de destino de la ventana de la consola (o bien, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio). Seleccione Active Directory y, a continuación, Crear cuenta de equipo. Aparecerá el cuadro de diálogo Administración de Active Directory.
  2. En la lista desplegable Dominio, seleccione el dominio al que pertenecen los dispositivos de destino o, en el cuadro de texto Controlador de dominio, escriba el nombre del controlador de dominio al que desea agregar los dispositivos de destino (si se deja el cuadro de texto vacío, se utiliza el primer controlador de dominio encontrado).
  3. En la lista desplegable Unidad organizativa (OU), seleccione o escriba la unidad organizativa a la que pertenece el dispositivo de destino (la sintaxis es “principal/secundario” y las listas están separadas por coma; si se encuentra anidado, el principal va primero).
  4. Haga clic en el botón Agregar dispositivos para agregar los dispositivos de destino seleccionados al dominio y al controlador de dominio. Se mostrará un mensaje de estado para indicar si cada dispositivo de destino se agregó correctamente. Haga clic en Cerrar para cerrar el cuadro de diálogo.

Quitar dispositivos de destino de un dominio

  1. Haga clic con el botón secundario en uno o varios dispositivos de destino de la ventana de la consola (o bien, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio). Seleccione Administración de Active Directory y, a continuación, Eliminar cuenta de equipo. Aparecerá el cuadro de diálogo Administración de Active Directory.
  2. En la tabla Dispositivo de destino, resalte los dispositivos de destino que desea eliminar del dominio y, a continuación, haga clic en el botón Eliminar dispositivos. Haga clic en Cerrar para cerrar el cuadro de diálogo.

Restablecer cuentas de equipo

Nota:

Una cuenta de equipo de Active Directory solo puede restablecerse cuando el dispositivo de destino está inactivo.

Para restablecer las cuentas de equipo de los dispositivos de destino en un dominio de Active Directory:

  1. Haga clic con el botón secundario en uno o varios dispositivos de destino de la ventana de la consola (o bien, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio), seleccione Administración de Active Directory y, a continuación, elija Restablecer cuenta de equipo. Aparecerá el cuadro de diálogo Administración de Active Directory.

  2. En la tabla Dispositivo de destino, resalte los dispositivos de destino que quiere restablecer y, a continuación, haga clic en el botón Restablecer dispositivos.

    Nota:

    Este dispositivo de destino debe haberse agregado al dominio durante la preparación del primer dispositivo de destino.

  3. Haga clic en Cerrar para cerrar el cuadro de diálogo.

  4. Inhabilite la renegociación automática de contraseñas de Windows Active Directory. Para hacer esto, en el controlador de dominio, habilite la directiva de grupo “Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo”.

    Nota:

    Para realizar cambios en esta directiva de seguridad, debe iniciar sesión con los permisos suficientes para agregar y modificar cuentas de equipo en Active Directory. Puede optar por inhabilitar los cambios en las contraseñas de las cuentas de equipo a nivel de dominio o local. Si inhabilita los cambios en las contraseñas de las cuentas de equipo a nivel del dominio, el cambio se aplica a todos los miembros del dominio. Si realiza el cambio a nivel local (modificando la directiva de seguridad local en un dispositivo de destino conectado a un disco virtual en Private Image Mode), el cambio se aplica solamente a los dispositivos de destino que utilizan ese disco virtual.

  5. Arranque cada dispositivo de destino.

Configurar discos virtuales para la administración de Active Directory