Configurar discos virtuales para la administración de Active Directory

La integración de Citrix Provisioning y Active Directory permite que los administradores:

  • Seleccionen la unidad organizativa (OU) de Active Directory para la cuenta de la máquina del dispositivo de destino de Citrix Provisioning.
  • Aproveche las funciones de administración de Active Directory, como la delegación de control y las directivas de grupo.
  • Configure el servidor Citrix Provisioning para administrar de forma automática las contraseñas de las cuentas de equipo de los dispositivos de destino.

Antes de integrar Active Directory en la comunidad, compruebe que se cumplan los siguientes requisitos previos:

  • Se ha agregado el dispositivo de destino maestro al dominio antes de crear el disco virtual.
  • Se ha seleccionado la opción Disable Machine Account Password Changes mientras se utilizaba el asistente de optimización de imágenes.

Una vez comprobados todos los requisitos previos, se pueden agregar y asignar nuevos dispositivos de destino al disco virtual. A continuación, se debe crear una cuenta de equipo para cada dispositivo de destino.

Administrar contraseñas de dominio

Cuando los dispositivos de destino acceden a su propio disco virtual en el modo Private Image, no existen requisitos especiales para administrar las contraseñas de dominio. Sin embargo, cuando un dispositivo de destino accede a un disco virtual en el modo Standard Image, el servidor de aprovisionamiento le asigna su nombre al dispositivo de destino. Si el dispositivo de destino pertenece a un dominio, el nombre y la contraseña que el servidor le asigna deben coincidir con la información de la cuenta de equipo correspondiente en el dominio. De lo contrario, el dispositivo de destino no puede iniciar sesión correctamente. Por este motivo, el servidor de aprovisionamiento debe administrar las contraseñas de dominio para los dispositivos de destino que comparten un disco virtual.

Para habilitar la administración de contraseñas de dominio, es necesario inhabilitar la renegociación automática de contraseñas de equipos controlada por Active Directory (o un dominio de NT 4.0). Para este proceso, se debe habilitar la directiva de seguridad “Disable Machine Account Password Changes” en el dominio o el dispositivo de destino. El servidor de aprovisionamiento ofrece una funcionalidad equivalente a través de su propia función Automatic Password Renegotiate.

Los dispositivos de destino que arrancan desde discos virtuales ya no necesitan la renegociación de contraseñas de Active Directory. Es necesario configurar una directiva para inhabilitar los cambios de contraseña al nivel del dominio para todos los miembros de dominio que arrancan desde discos duros locales. Si las directivas que inhabilitan cambios de contraseña no son adecuadas para su entorno, inhabilite los cambios de contraseña de la cuenta de la máquina al nivel local. Para inhabilitar los cambios de contraseña de las cuentas de equipo, seleccione la opción Optimize cuando cree una imagen de disco virtual. Posteriormente, este parámetro se aplica a todos los dispositivos de destino que arrancan desde la imagen de disco virtual compartida.

Nota:

El servidor Citrix Provisioning no cambia de ninguna manera el esquema de Active Directory ni lo extiende. La función del servidor de aprovisionamiento es crear o modificar las cuentas de equipo en Active Directory y restablecer las contraseñas.

Cuando la administración de contraseñas de dominio se encuentra habilitada:

  • Establece una contraseña única para un dispositivo de destino.
  • Almacena esa contraseña en la cuenta de equipo de dominio correspondiente.
  • Brinda la información necesaria para restablecer la contraseña en el dispositivo de destino antes de iniciar sesión en el dominio.

Proceso de administración de contraseñas

Proceso de validación de contraseñas con Active Directory

Con la administración de contraseñas habilitada, el proceso de validación de contraseñas de dominio implica:

  • Crear una cuenta de equipo en la base de datos para un dispositivo de destino y asignar una contraseña a la cuenta.
  • Proporcionar un nombre de cuenta a un dispositivo de destino mediante Streaming Service.
  • Determinar que el controlador de dominio valide la contraseña suministrada por el dispositivo de destino.

Habilitar la administración de dominios

Cada dispositivo de destino que inicia sesión en un dominio requiere una cuenta de equipo en el controlador de dominio. Esta cuenta de equipo posee una contraseña que el sistema operativo del escritorio Windows mantiene y que es transparente para el usuario. La contraseña de la cuenta se almacena tanto en el controlador de dominio como en el dispositivo de destino. Si las contraseñas almacenadas en el dispositivo de destino y en el controlador de dominio no coinciden, el usuario no puede iniciar sesión en el dominio desde el dispositivo de destino.

La administración de dominios se activa completando las siguientes tareas:

  • Habilitar Machine Account Password Management
  • Habilitar Automatic Password Management

Habilitar Machine Account Password Management

Para habilitar la administración de contraseñas de cuentas de equipo, siga estos pasos:

  1. Haga clic con el botón secundario en un disco virtual de la consola de Citrix Provisioning y, a continuación, seleccione la opción de menú File Properties.
  2. En la ficha Options, seleccione Active Directory machine account password management.
  3. Haga clic en OK, cierre los cuadros de diálogo de propiedades y vuelva a iniciar Streaming Service.

Habilitar Automatic Password Management

Si los dispositivos de destino pertenecen a un dominio de Active Directory y comparten un disco virtual, complete los siguientes pasos adicionales.

Para que se admitan contraseñas automáticas, lleve a cabo lo siguiente:

  1. Haga clic con el botón secundario en un servidor de aprovisionamiento en la consola y seleccione la opción de menú Properties.
  2. En la ficha Options, seleccione la opción “Enable automatic password support”.
  3. Defina la cantidad de días entre los cambios de contraseña.
  4. Haga clic en OK para cerrar el cuadro de diálogo Server Properties.
  5. Reinicie Streaming Service.

Administrar cuentas de equipo de dominio

Las tareas que se describen aquí deben realizarse mediante el servidor Citrix Provisioning, en lugar de en Active Directory, para utilizar todas las funciones del producto.

Compatibilidad con entornos entre bosques

Para admitir entornos entre bosques:

  • El sistema de nombres de dominio (DNS) debe estar correctamente configurado. Consulte el sitio web de Microsoft para obtener información sobre cómo preparar DNS para una confianza de bosque.
  • El nivel funcional de ambos bosques debe ser la misma versión de Windows Server.
  • Cree la confianza de bosque. Para crear una cuenta en un dominio desde otro bosque, cree una confianza entrante desde el bosque externo al bosque donde reside Citrix Provisioning.

Entorno de dominio principal-secundario

Las configuraciones comunes entre dominios implican tener el servidor Citrix Provisioning en un dominio principal con usuarios de uno o varios dominios secundarios. Estos usuarios pueden administrar Citrix Provisioning y administrar cuentas de Active Directory desde sus propios dominios.

Para implementar esta configuración:

  1. Cree un grupo de seguridad en el dominio secundario; puede ser un grupo de dominio universal, global o local. Convierta un usuario del dominio secundario en miembro de este grupo.

  2. En la consola de Citrix Provisioning, en el dominio principal, convierta el grupo de seguridad del dominio secundario en un administrador de Citrix Provisioning.

  3. Si el usuario del dominio secundario no dispone de privilegios de Active Directory, utilice el componente “Asistente de delegación” en la consola de administración de Usuarios y equipos de Active Directory (MMC). Puede utilizar este método para asignar, crear y eliminar derechos de cuenta de equipo que tenga un usuario sobre la unidad organizativa especificada.

  4. Instale la consola de Citrix Provisioning en el dominio secundario. No se necesita configuración. Inicie sesión en el servidor de aprovisionamiento como usuario del dominio secundario.

Configuración entre bosques

Esta configuración es similar al caso entre dominios. Sin embargo, en esta configuración, el grupo de administrador, el usuario y la consola de Citrix Provisioning se encuentran en el dominio de otro bosque. Los pasos son los mismos que para el entorno de dominio principal-secundario, excepto en que primero se debe establecer una confianza de bosque.

Nota:

Microsoft recomienda no permitir que los administradores deleguen derechos al contenedor de equipos predeterminado. El procedimiento recomendado es crear cuentas en las unidades organizativas.

Conceder acceso a usuarios con privilegios de administrador de Provisioning Services de otro dominio

Citrix recomienda el siguiente método:

  1. Agregue el usuario a un grupo universal de su propio dominio (no del dominio de Citrix Provisioning).
  2. Agregue ese grupo universal a un grupo de dominio local en el dominio de Citrix Provisioning.
  3. Convierta ese grupo de dominio local en el grupo de administradores de Citrix Provisioning.

Agregar dispositivos de destino a un dominio

Nota:

El nombre de máquina utilizado para la imagen de disco virtual no se debe usar de nuevo en el entorno.

  1. Haga clic con el botón secundario en uno o varios dispositivos de destino en la ventana de la consola. O bien, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio. Seleccione Active Directory y, a continuación, Crear cuenta de equipo. Aparecerá el cuadro de diálogo Administración de Active Directory.
  2. En la lista “Dominio”, seleccione el dominio al que pertenece el dispositivo de destino. O bien, en el cuadro de texto Controlador de dominio, escriba el nombre del controlador de dominio al que se agregan los dispositivos de destino. Si deja el cuadro de texto vacío, se utiliza el primer controlador de dominio encontrado.
  3. En la lista desplegable de la unidad organizativa, seleccione o escriba la unidad organizativa a la que pertenece el dispositivo de destino. La sintaxis es “principal/secundario” y las listas están separadas por comas. Si el elemento está anidado, el principal va primero.
  4. Haga clic en el botón “Agregar dispositivos” para agregar los dispositivos de destino seleccionados al dominio y al controlador de dominio. Se mostrará un mensaje de estado para indicar si cada dispositivo de destino se agregó correctamente. Haga clic en Close para cerrar el cuadro de diálogo.

Quitar dispositivos de destino de un dominio

  1. Haga clic con el botón secundario en uno o varios dispositivos de destino en la ventana de la consola. Si no, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio. Seleccione Administración de Active Directory y, a continuación, Eliminar cuenta de equipo. Aparecerá el cuadro de diálogo Administración de Active Directory.
  2. En la tabla Dispositivo de destino, resalte los dispositivos de destino que se eliminen del dominio y, a continuación, haga clic en el botón Eliminar dispositivos. Haga clic en Close para cerrar el cuadro de diálogo.

Restablecer cuentas de equipo

Nota:

Una cuenta de equipo de Active Directory solo puede restablecerse cuando el dispositivo de destino está inactivo.

Para restablecer las cuentas de equipo de los dispositivos de destino en un dominio de Active Directory:

  1. Haga clic con el botón secundario en uno o varios dispositivos de destino en la ventana de la consola. Si no, haga clic con el botón secundario en la colección de dispositivos para agregar todos los dispositivos de destino de esta colección a un dominio. Seleccione Active Directory Management y, a continuación, Reset machine account. Aparecerá el cuadro de diálogo Active Directory Management.

  2. En la tabla Target Device, resalte los dispositivos de destino que se deban restablecer y, a continuación, haga clic en el botón Reset devices.

    Nota:

    Agregue este dispositivo de destino a su dominio mientras prepara el primer dispositivo de destino.

  3. Haga clic en Close para cerrar el cuadro de diálogo.

  4. Inhabilite la renegociación automática de contraseñas de Windows Active Directory. Para inhabilitar la renegociación automática de contraseñas en el controlador de dominio, habilite la siguiente directiva de grupo: “Miembro de dominio: deshabilitar los cambios de contraseña de cuentas de equipo”.

    Nota:

    Para realizar cambios en esta directiva de seguridad, debe tener permisos suficientes para agregar y modificar cuentas de equipo en Active Directory. Puede optar por inhabilitar los cambios en las contraseñas de las cuentas de máquinas al nivel de dominio o local. Si inhabilita los cambios en las contraseñas de las cuentas de máquina al nivel del dominio, el cambio se aplica a todos los miembros del dominio. Si realiza el cambio a nivel local (modificando la directiva de seguridad local en un dispositivo de destino conectado a un disco virtual en el modo Private Image), el cambio se aplica solamente a los dispositivos de destino que utilizan ese disco virtual.

  5. Arranque cada dispositivo de destino.

Activación basada en Active Directory

Puede actualizar la configuración de las licencias de volumen de Microsoft para el disco virtual individual. Para ello, use la activación basada en Active Directory. Con esta función, puede establecer que el disco virtual no use licencias de volumen.

Propiedades del disco virtual en las licencias por volumen de Microsoft

Nota:

Al usar las licencias de volumen de Microsoft para un disco virtual, tenga en cuenta que los Key Management Services (KMS), la clave de activación múltiple (MAK) y la activación basada en Active Directory (ADBA) no se pueden usar al mismo tiempo.

Para optimizar su experiencia con la activación basada en Active Directory:

  1. En la pantalla Property del disco virtual, configure la propiedad de licencias de Microsoft del disco virtual como None.
  2. En el dispositivo de destino, use slmgr-dlv para una imagen de Microsoft y cscript ospp.vbs/dstatus para una imagen de Microsoft Office.

Sugerencia:

Existe un problema conocido por el que VAMT muestra errores sobre entradas duplicadas de CMID para dispositivos activados por Active Directory (ADBA). Este problema se da aunque ADBA no utilice CMID. A pesar de ser similar a Key Management Services (KMS), ADBA no usa CMID. Microsoft reutiliza los datos de KMS al compilar la información de CMID. En la siguiente imagen se muestra una pantalla de la herramienta VAMT para ADBA. El informe de Duplicate Client Machine ID muestra los conflictos causados por entradas CMID duplicadas para esos dispositivos.

Propiedades del disco virtual en las licencias por volumen de Microsoft