Product Documentation

ドメインパスワードの管理

Mar 24, 2016

ターゲットデバイスがプライベートイメージモードのvDiskにアクセスする場合、ドメインパスワードの管理に特別な要件はありません。 ただし、ターゲットデバイスが標準イメージモードのvDiskにアクセスする場合、Provisioning Servicesによってターゲットデバイスの名前が割り当てられます。 ターゲットデバイスがドメインのメンバーである場合、Provisioning Servicesによって割り当てられる名前とパスワードが、ドメイン内の対応するコンピューターアカウントの情報と一致する必要があります。 一致しない場合、ターゲットデバイスはドメインにログオンできません。 このため、vDiskを共有するターゲットデバイスについてはProvisioning Servicesでドメインパスワードを管理する必要があります。

ドメインパスワードの管理を有効にするには、Active Directory(またはNT 4.0のドメイン)により制御されるコンピューターアカウントパスワードの自動再ネゴシエーションを無効にする必要があります。 これは、ドメイン単位またはターゲットデバイス単位でセキュリティポリシーの[コンピューターアカウントパスワード:定期的な変更を無効にする]を有効にすることによって行います。 Provisioning Servicesは、独自のパスワードの自動再ネゴシエーション機能を介して同等の機能を提供します。

ドメイン単位でパスワードの定期的な変更が無効になるようにポリシーを構成すると、vDiskから起動するターゲットデバイスにActive Directoryのパスワード再ネゴシエーションが不要になる一方で、ローカルハードドライブから起動するドメインメンバーにもこのポリシーが適用されます。 このことは望ましくない可能性があります。 その場合は、ローカルコンピューターの単位でコンピューターアカウントパスワードの変更を無効にする方がよい選択肢です。 このためには、vDiskイメージを作成するときに最適化オプションを選択します。 この設定は共有vDiskイメージから起動するどのターゲットデバイスにも適用されます。

注:Provisioning Servicesは、Active Directoryのスキーマを変更したり拡張したりすることはありません。 Provisioning Servicesの機能は、Active Directoryにコンピューターアカウントを作成し、そのアカウントを変更し、パスワードをリセットすることです。
ドメインパスワードの管理を有効にすると、次のことが行われます。
  • ターゲットデバイスに一意のパスワードを設定します。
  • 個々のドメインコンピューターアカウントにパスワードを格納します。
  • ターゲットデバイスがドメインにログオンする前に、ターゲットデバイスでパスワードをリセットするために必要な情報を付与します。

パスワード管理のプロセス

 

Active Directoryと組み合わせたパスワード検証プロセス

パスワード管理が有効な場合、ドメインパスワードの検証プロセスには次の処理が含まれます。
  • データベースにターゲットデバイスのコンピューターアカウントを作成し、そのアカウントにパスワードを割り当てます。
  • Stream Serviceによりアカウント名をターゲットデバイスに提供します。
  • ドメインコントローラーでターゲットデバイスにより提供されるパスワードを検証します。