Configuration des vDisks pour la gestion d’Active Directory

L’intégration de Citrix Provisioning et d’Active Directory permet aux administrateurs d’effectuer les tâches suivantes :

  • sélectionner l’unité d’organisation (OU) Active Directory dans laquelle Citrix Provisioning doit créer un compte d’ordinateur de machine cible ;
  • tirer parti des fonctionnalités de gestion d’Active Directory comme la délégation du contrôle et les stratégies de groupe ;
  • configurer le serveur Provisioning Server pour gérer automatiquement les mots de passe des comptes d’ordinateurs des machines cibles.

Avant d’intégrer Active Directory dans la batterie, vérifiez que les conditions préalables suivantes sont réunies :

  • La machine cible principale a été ajoutée au domaine avant la création du vDisk.
  • L’option Disable Machine Account Password Changes a été sélectionnée lors de l’exécution de l’assistant d’optimisation d’images pendant la création d’images.

Une fois toutes les conditions préalables vérifiées, il est possible d’ajouter et d’attribuer de nouvelles machines cibles au vDisk. Il faut ensuite créer un compte d’ordinateur pour chaque machine cible.

Gestion des mots de passe de domaine

Lorsque les machines cibles accèdent à leur propre vDisk en mode Private Image, la gestion des mots de passe de domaine ne nécessite aucune exigence particulière. Toutefois, lorsqu’une machine cible accède à un vDisk en mode Standard Image, le serveur Provisioning Server attribue un nom à la machine cible. Si la machine cible est un membre du domaine, le nom et le mot de passe attribués par le serveur Provisioning Server doivent coïncider avec les informations du compte d’ordinateur correspondant au sein du domaine. Dans le cas contraire, la machine cible ne peut pas ouvrir de session. Le serveur Provisioning Server doit par conséquent gérer les mots de passe de domaine pour les machines cibles qui partagent un vDisk.

Afin d’activer la gestion des mots de passe de domaine, vous devez désactiver la renégociation automatique contrôlée par Active Directory (ou domaine NT 4.0) des mots de passe de la machine. Il suffit d’activer l’option Disable machine account password changes security policy au niveau du domaine ou de la machine cible. Le serveur Provisioning Server propose une option équivalente, via sa propre fonctionnalité Automatic Password Renegotiate.

Alors que les machines cibles démarrant à partir de vDisks ne requièrent plus la renégociation des mots de passe Active Directory, la configuration d’une stratégie afin de désactiver les changements de mots de passe au niveau du domaine s’applique à n’importe quel membre du domaine qui démarre à partir de disques durs locaux. Cela n’est peut-être pas souhaitable. Désactiver les changements de mots de passe du compte d’ordinateur au niveau local s’avère être une meilleure solution. Pour ce faire, sélectionnez l’option Optimize lorsque vous créez une image vDisk. Les paramètres s’appliquent ensuite à n’importe quelle machine cible qui démarre à partir de l’image vDisk partagée.

Remarque :

Le serveur Provisioning Server ne modifie ni ne développe en aucun cas le schéma Active Directory. La fonction du serveur Provisioning Server est de créer ou de modifier les comptes d’ordinateur dans Active Directory, et de réinitialiser les mots de passe.

Lorsque la gestion des mots de passe de domaine est activée :

  • un seul mot de passe est configuré pour la machine cible ;
  • ce mot de passe est stocké dans le compte de domaine de l’ordinateur respectif ;
  • les informations nécessaires à la réinitialisation du mot de passe de la machine cible sont fournies avant la connexion au domaine.

Processus de gestion du mot de passe

Processus de validation du mot de passe avec Active Directory

Une fois la gestion du mot passe activée, le processus de validation du mot de passe de domaine se présente comme suit :

  • Création d’un compte d’ordinateur dans la base de données pour une machine cible, puis attribution d’un mot de passe au compte.
  • Attribution d’un nom de compte à une machine cible à l’aide du service de streaming.
  • Validation par le contrôleur de domaine du mot de passe fourni par la machine cible.

Activation de la gestion des domaines

Chaque machine cible qui ouvre une session sur un domaine doit être associée à un compte d’ordinateur sur le contrôleur de domaine. Ce compte d’ordinateur est soumis à un mot de passe géré par le système d’exploitation de bureau Windows et transparent pour l’utilisateur. Le mot de passe du compte est enregistré à la fois sur le contrôleur de domaine et sur la machine cible. En cas de divergence entre le mot de passe enregistré sur la machine cible et celui stocké sur le contrôleur de domaine, l’utilisateur ne peut plus ouvrir de session sur le domaine à partir de la machine cible.

Exécutez les tâches suivantes pour activer la gestion des domaines :

  • Activation de la gestion des mots de passe du compte sur la machine
  • Activation de la gestion automatique des mots de passe

Activation de la gestion des mots de passe du compte sur la machine

Pour activer la gestion des mots de passe du compte sur la machine, procédez comme suit :

  1. Cliquez avec le bouton droit de la souris sur un vDisk de la console, puis sélectionnez l’option de menu File Properties.
  2. Dans l’onglet Options, sélectionnez Active Directory machine account password management.
  3. Cliquez sur OK, puis fermez la boîte de dialogue des propriétés et redémarrez le service de streaming.

Activation de la gestion automatique des mots de passe

Si vos machines cibles appartiennent à un domaine Active Directory et qu’elles partagent un vDisk, exécutez les tâches complémentaires suivantes.

Pour activer la prise en charge automatique des mots de passe, procédez comme suit :

  1. Cliquez avec le bouton droit de la souris sur un serveur Provisioning Server de la console, puis sélectionnez l’option de menu Properties.
  2. Sélectionnez l’option Enable automatic password support dans l’onglet Options.
  3. Définissez l’intervalle (en jours) entre deux modifications de mot de passe.
  4. Cliquez sur OK pour fermer la boîte de dialogue Server Properties.
  5. Redémarrez le service de streaming.

Gestion des comptes d’ordinateurs de domaine

Les tâches documentées ici doivent être effectuées à l’aide du serveur Provisioning Server, plutôt que dans Active Directory, afin de tirer le meilleur parti des fonctionnalités du produit.

Prise en charge des scénarios inter-forêts

Pour prendre en charge des scénarios inter-forêts :

  • Assurez-vous que le DNS est correctement configuré. Veuillez consulter le site Internet de Microsoft pour obtenir des informations sur la manière de configurer un DNS pour une approbation de forêt.
  • Assurez-vous que le niveau fonctionnel des deux forêts utilise la même version de Windows Server.
  • Créez l’approbation de forêt. Afin que Citrix Provisioning et l’utilisateur du domaine puissent créer un compte dans un domaine à partir d’une autre forêt, créez une approbation entrante de la forêt externe vers la forêt dans laquelle se trouve Citrix Provisioning.

Domaine parent/enfant

Une configuration inter-domaines commune implique que le serveur Provisioning Server réside dans un domaine parent, et que les utilisateurs, d’un ou plusieurs domaines enfant, qui souhaitent administrer Citrix Provisioning et gérer les comptes Active Directory résident au sein de leurs propres domaines.

Pour implémenter cette configuration :

  1. Créez un groupe de sécurité dans le domaine enfant ; il peut s’agir d’un groupe de domaines universel, global ou local. Faites d’un utilisateur du domaine enfant un membre de ce groupe.

  2. À partir de la console du serveur Provisioning Server, dans le domaine parent, faites du groupe de sécurité du domaine enfant un administrateur Citrix Provisioning.

  3. Si l’utilisateur du domaine enfant n’a pas de privilèges Active Directory, utilisez Delegation Wizard dans la console de gestion Utilisateurs et Ordinateurs Active Directory afin d’attribuer, de créer et de supprimer les droits du compte d’ordinateur de l’utilisateur pour l’unité d’organisation spécifiée.

  4. Installez la console Citrix Provisioning dans le domaine enfant. Aucune configuration n’est requise. Connectez-vous au serveur Provisioning Server en tant qu’utilisateur du domaine enfant.

Configuration inter-forêts

Cette configuration est similaire au scénario inter-domaines, sauf que la console Provisioning Services, l’utilisateur et le groupe d’administrateurs Citrix Provisioning sont dans un domaine d’une forêt distincte. Les étapes sont les mêmes que pour le scénario parent/enfant, sauf qu’il faut tout d’abord établir une approbation de forêt.

Remarque :

Microsoft recommande que les administrateurs ne délèguent aucun droit au conteneur d’ordinateurs par défaut. Il est recommandé de créer des comptes dans les unités d’organisation.

Attribution de privilèges d’administrateur Provisioning Services aux utilisateurs d’un autre domaine

Citrix recommande d’utiliser la méthode suivante :

  1. Ajoutez l’utilisateur à un groupe universel dans son propre domaine (et non le domaine Citrix Provisioning).
  2. Ajoutez ce groupe universel à un groupe de domaines local dans le domaine Citrix Provisioning.
  3. Faites de ce groupe de domaines local le groupe administrateur Citrix Provisioning.

Ajout de machines cibles à un domaine

Remarque :

Le nom de la machine utilisée pour l’image vDisk ne doit plus être utilisé dans votre environnement.

  1. Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console, ou cliquez avec le bouton droit de la souris sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory, puis Create machine account. La boîte de dialogue Active Directory Management s’affiche.
  2. À partir de la liste déroulante Domain, sélectionnez le domaine auquel appartiennent les machines cibles, ou dans la zone de texte Domain Controller, tapez le nom du contrôleur de domaine auquel doivent être ajoutées les machines cibles. Si vous laissez cette zone vide, le premier contrôleur de domaine détecté est utilisé.
  3. À partir de la liste déroulante Organization unit, sélectionnez ou tapez l’unité d’organisation à laquelle appartient la machine cible. La syntaxe est « parent/enfant », les listes sont séparées par des virgules. S’il est imbriqué, le parent est prioritaire.
  4. Cliquez sur le bouton Add devices afin d’ajouter les machines cibles sélectionnées au domaine et au contrôleur de domaine. Un message d’état s’affiche, indiquant si chaque machine cible a été correctement ajoutée. Cliquez sur Close pour fermer la boîte de dialogue.

Suppression de machines cibles d’un domaine

  1. Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console, ou cliquez avec le bouton droit de la souris sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine. Sélectionnez Active Directory Management, puis Delete machine account. La boîte de dialogue Active Directory Management s’affiche.
  2. Dans le tableau Target Device, mettez en surbrillance les machines cibles devant être supprimées du domaine, puis cliquez sur le bouton Delete Devices. Cliquez sur Close pour fermer la boîte de dialogue.

Réinitialisation des comptes d’ordinateurs

Remarque :

Un compte de machine Active Directory peut uniquement être réinitialisé lorsque la machine cible est inactive.

Pour réinitialiser des comptes d’ordinateurs pour des machines cibles dans un domaine Active Directory :

  1. Cliquez avec le bouton droit de la souris sur une ou plusieurs machines cibles dans la fenêtre de la console (ou cliquez avec le bouton droit sur la collection de machines afin d’ajouter toutes les machines cibles de cette collection à un domaine), puis sélectionnez Active Directory Management et Reset machine account. La boîte de dialogue Active Directory Management s’affiche.

  2. Dans le tableau Target Device, mettez en surbrillance les machines cibles devant être réinitialisées, puis cliquez sur le bouton Reset Devices.

    Remarque :

    Cette machine cible doit avoir été ajoutée à votre domaine lors de la configuration de la première machine cible.

  3. Cliquez sur Close pour fermer la boîte de dialogue.

  4. Désactivez la renégociation automatique des mots de passe par Windows Active Directory. Pour ce faire, sur votre contrôleur de domaine, activez la stratégie de groupe suivante : Domain member: Disable machine account password changes.

    Remarque :

    Pour modifier cette stratégie de sécurité, vous devez bénéficier des autorisations nécessaires pour ajouter et modifier les comptes d’ordinateurs dans Active Directory. Vous pouvez désactiver les modifications du mot de passe du compte de la machine au niveau du domaine ou au niveau local. Si vous désactivez les modifications du mot de passe du compte de la machine au niveau du domaine, la modification s’applique à tous les membres du domaine. Si vous le faites au niveau local (en modifiant la stratégie de sécurité locale sur une machine cible connectée au vDisk en mode Private Image), la modification ne s’applique qu’aux machines cibles utilisant ce vDisk.

  5. Démarrez chaque machine cible.

Configuration des vDisks pour la gestion d’Active Directory