Product Documentation

Gestion des comptes d'ordinateurs de domaine

Jan 10, 2017
Les tâches documentées ici doivent être effectuées à l'aide du serveur Provisioning Server, plutôt que dans Active Directory, afin de tirer le meilleur parti des fonctionnalités du produit.

Prise en charge des scénarios inter-forêts

Pour prendre en charge des scénarios inter-forêts :
  • Assurez-vous que le DNS est correctement configuré. Veuillez consulter le site Internet de Microsoft pour obtenir des informations sur la manière de configurer un DNS pour une approbation de forêt.
  • Assurez-vous que le niveau fonctionnel des deux forêts utilise la même version de Windows Server.
  • Créez l'approbation de forêt. Afin que Provisioning Services et l'utilisateur du domaine Provisioning Services puissent créer un compte dans un domaine à partir d'une autre forêt, créez une approbation entrante de la forêt externe vers la forêt dans laquelle se trouve Provisioning Services.

Domaine parent/enfant

Une configuration inter-domaines commune implique que le serveur Provisioning Server réside dans un domaine parent, et que les utilisateurs, d'un ou plusieurs domaines enfant, qui souhaitent administrer Provisioning Services et gérer les comptes Active Directory résident au sein de leurs propres domaines.

Pour implémenter cette configuration :
  1. Créez un groupe de sécurité dans le domaine enfant. Il peut s'agir d'un groupe de domaines universel, global ou local. Faites d'un utilisateur du domaine enfant un membre de ce groupe.

  2. À partir de la console du serveur Provisioning Server, dans le domaine parent, faites du groupe de sécurité du domaine enfant un administrateur Provisioning Services.

  3. Si l'utilisateur du domaine enfant n'a pas de privilèges Active Directory, utilisez Delegation Wizard dans la console de gestion Utilisateurs et Ordinateurs Active Directory afin d'attribuer, de créer et de supprimer les droits du compte d'ordinateur de l'utilisateur pour l'unité d'organisation spécifiée.
  4. Installez la console Provisioning Services dans le domaine enfant. Aucune configuration n'est requise. Connectez-vous au serveur Provisioning Server en tant qu'utilisateur du domaine enfant.

Configuration inter-forêts

Cette configuration est similaire au scénario inter-domaines, sauf que la console Provisioning Services, l'utilisateur et le groupe d'administrateurs Provisioning Services sont dans un domaine d'une forêt distincte. Les étapes sont les mêmes que pour le scénario parent/enfant, sauf qu'il faut tout d'abord établir une approbation de forêt.

Remarque

Microsoft recommande que les administrateurs ne délèguent aucun droit au conteneur d'ordinateurs par défaut. Il est recommandé de créer des comptes dans les unités d'organisation.

Attribution de privilèges d'administrateur Provisioning Services aux utilisateurs d'un autre domaine

Citrix recommande d'utiliser la méthode suivante :

  1. Ajoutez l'utilisateur à un groupe universel dans son propre domaine (pas le domaine Provisioning Services).
  2. Ajoutez ce groupe universel à un groupe de domaines local dans le domaine PVS.
  3. Faites de ce groupe de domaines local le groupe administrateur PVS.

Ajout de machines cibles à un domaine

Pour ajouter des machines cibles à un domaine :
Remarque : le nom de la machine utilisée pour l'image vDisk ne doit jamais plus être utilisé dans votre environnement.
  1. Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console, ou cliquez avec le bouton droit de la souris sur la collection de machines afin d'ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory, puis Create machine account. La boîte de dialogue Active Directory Management s'affiche.
  2. À partir de la liste déroulante Domain, sélectionnez le domaine auquel appartiennent les machines cibles, ou dans la zone de texte Domain Controller, tapez le nom du contrôleur de domaine auquel doivent être ajoutées les machines cibles. Si vous laissez cette zone vide, le premier contrôleur de domaine détecté est utilisé.
  3. À partir de la liste déroulante Organization unit, sélectionnez ou tapez l'unité d'organisation à laquelle appartient la machine cible. La syntaxe est « parent/enfant », les listes sont séparées par des virgules. S'il est imbriqué, le parent est prioritaire.
  4. Cliquez sur le bouton Add devices afin d'ajouter les machines cibles sélectionnées au domaine et au contrôleur de domaine. Un message d'état s'affiche, indiquant si chaque machine cible a été correctement ajoutée. Cliquez sur Close pour quitter la boîte de dialogue.

Suppression de machines cibles d'un domaine

  1. Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console, ou cliquez avec le bouton droit de la souris sur la collection de machines afin d'ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory Management, puis Delete machine account. La boîte de dialogue Active Directory Management s'affiche.
  2. Dans le tableau Target Device, mettez en surbrillance les machines cibles devant être supprimées du domaine, puis cliquez sur le bouton Delete Devices. Cliquez sur Close pour quitter la boîte de dialogue.

Réinitialisation des comptes d'ordinateurs

Remarque : un compte de machine Active Directory peut uniquement être réinitialisé lorsque la machine cible est inactive.
Pour réinitialiser des comptes d'ordinateurs pour des machines cibles dans un domaine Active Directory :
  1. Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console (ou cliquez avec le bouton droit sur la collection de machines afin d'ajouter toutes les machines cibles de cette collection à un domaine), puis sélectionnez Active Directory Management et Reset machine account. La boîte de dialogue Active Directory Management s'affiche.
  2. Dans le tableau Target Device, mettez en surbrillance les machines cibles devant être réinitialisées, puis cliquez sur le bouton Reset Devices.
    Remarque : cette machine cible doit avoir été ajoutée à votre domaine lors de la configuration de la première machine cible.
  3. Cliquez sur Close pour quitter la boîte de dialogue.
  4. Désactivez la renégociation automatique des mots de passe par Windows Active Directory. Pour ce faire, sur votre contrôleur de domaine, activez la stratégie de groupe suivante : Membre de domaine : désactive les modifications de mot de passe du compte ordinateur.
    Remarque : pour modifier cette stratégie de sécurité, vous devez bénéficier des autorisations nécessaires pour ajouter et modifier les comptes d'ordinateurs dans Active Directory. Vous pouvez désactiver les modifications du mot de passe du compte de la machine au niveau du domaine ou au niveau local. Si vous désactivez les modifications du mot de passe du compte de la machine au niveau du domaine, la modification s'applique à tous les membres du domaine. Si vous le faites au niveau local (en modifiant la stratégie de sécurité locale sur une machine cible connectée au vDisk en mode Private Image), la modification ne s'applique qu'aux machines cibles utilisant ce vDisk.
  5. Démarrez chaque machine cible.