Gestion des mots de passe de domaine

Lorsque les machines cibles accèdent à leur propre vDisk en mode Private Image, la gestion des mots de passe de domaine ne nécessite aucune exigence particulière. Toutefois, lorsqu’une machine cible accède à un vDisk en mode Standard Image, le serveur Provisioning Server attribue un nom à la machine cible. Si la machine cible est un membre du domaine, le nom et le mot de passe attribués par le serveur Provisioning Server doivent coïncider avec les informations du compte d’ordinateur correspondant au sein du domaine. Dans le cas contraire, la machine cible ne peut pas ouvrir de session. Le serveur Provisioning Server doit par conséquent gérer les mots de passe de domaine pour les machines cibles qui partagent un vDisk.

Afin d’activer la gestion des mots de passe de domaine, vous devez désactiver la renégociation automatique contrôlée par Active Directory (ou domaine NT 4.0) des mots de passe de la machine. Il suffit d’activer l’option Disable machine account password changes security policy au niveau du domaine ou de la machine cible. Le serveur Provisioning Server propose une option équivalente, via sa propre fonctionnalité Automatic Password Renegotiate.

Alors que les machines cibles démarrant à partir de vDisks ne requièrent plus la renégociation des mots de passe Active Directory, la configuration d’une stratégie afin de désactiver les changements de mots de passe au niveau du domaine s’applique à n’importe quel membre du domaine qui démarre à partir de disques durs locaux. Cela n’est peut-être pas souhaitable. La désactivation des changements de mots de passe du compte d’ordinateur au niveau local s’avère être une meilleure solution. Pour ce faire, sélectionnez l’option Optimize lorsque vous créez une image vDisk. Les paramètres s’appliquent ensuite à n’importe quelle machine cible qui démarre à partir de l’image vDisk partagée.

Remarque : le serveur Provisioning Server ne modifie ni ne développe en aucun cas le schéma Active Directory. La fonction du serveur Provisioning Server est de créer ou de modifier les comptes d’ordinateur dans Active Directory, et de réinitialiser les mots de passe.

Lorsque la gestion des mots de passe de domaine est activée :

• un seul mot de passe est configuré pour la machine cible ;
• ce mot de passe est stocké dans le compte de domaine de l’ordinateur respectif ;
• les informations nécessaires à la réinitialisation du mot de passe de la machine cible sont fournies avant la connexion au domaine.

Processus de gestion du mot de passe

Une fois la gestion du mot passe activée, le processus de validation du mot de passe de domaine se présente comme suit :

• Création d’un compte d’ordinateur dans la base de données pour une machine cible, puis attribution d’un mot de passe au compte.
• Attribution d’un nom de compte à une machine cible à l’aide du service de streaming.
• Validation par le contrôleur de domaine du mot de passe fourni par la machine cible.