vDiskでのActive Directory管理の構成

Citrix ProvisioningとActive Directoryを統合すると、管理者は次のことができるようになります。

  • Active Directoryの組織単位(OU)を選択して、Citrix Provisioningからターゲットデバイスのコンピューターアカウントを作成する。
  • オブジェクト制御の委任やグループポリシーなどのActive Directoryの管理機能を利用する。
  • Provisioning Servicesサーバーを、ターゲットデバイスのコンピューターアカウントパスワードを自動的に管理するように構成する。

ファームにActive Directoryを統合する前に、次の前提条件が満たされていることを確認します。

  • vDiskを作成する前にマスターターゲットデバイスをドメインに追加する。
  • イメージ作成時に、[コンピューターアカウントパスワードの変更を無効にする]チェックボックスをオンにしてデバイスオプティマイザーを実行する。

これらの条件が満たされていることを確認してから、新しいターゲットデバイスを追加してvDiskを割り当てることができます。その後で、各ターゲットデバイスにコンピューターアカウントを作成する必要があります。

ドメインパスワードの管理

ターゲットデバイスがプライベートイメージモードのvDiskにアクセスする場合、ドメインパスワードの管理に特別な要件はありません。ただし、ターゲットデバイスが標準イメージモードのvDiskにアクセスする場合、Provisioning Servicesによってターゲットデバイスの名前が割り当てられます。ターゲットデバイスがドメインのメンバーである場合、Provisioning Servicesによって割り当てられる名前とパスワードが、ドメイン内の対応するコンピューターアカウントの情報と一致する必要があります。一致しない場合、ターゲットデバイスはドメインにログオンできません。このため、vDiskを共有するターゲットデバイスについてはProvisioning Servicesでドメインパスワードを管理する必要があります。

ドメインパスワードの管理を有効にするには、Active Directory(またはNT 4.0のドメイン)により制御されるコンピューターアカウントパスワードの自動再ネゴシエーションを無効にする必要があります。これは、ドメイン単位またはターゲットデバイス単位でセキュリティポリシーの[コンピューターアカウントパスワード:定期的な変更を無効にする]を有効にすることによって行います。Provisioning Servicesは、独自のパスワードの自動再ネゴシエーション機能を介して同等の機能を提供します。

ドメイン単位でパスワードの定期的な変更が無効になるようにポリシーを構成すると、vDiskから起動するターゲットデバイスにActive Directoryのパスワード再ネゴシエーションが不要になる一方で、ローカルハードドライブから起動するドメインメンバーにもこのポリシーが適用されます。このことは望ましくない可能性があります。その場合は、ローカルコンピューターの単位でコンピューターアカウントパスワードの変更を無効にする方がよい選択肢です。このためには、vDiskイメージを作成するときに最適化オプションを選択します。この設定は共有vDiskイメージから起動するどのターゲットデバイスにも適用されます。

注:

Provisioning Servicesサーバーは、Active Directoryのスキーマを変更したり拡張したりすることはありません。Provisioning Servicesの機能は、Active Directoryにコンピューターアカウントを作成し、そのアカウントを変更し、パスワードをリセットすることです。

ドメインパスワードの管理を有効にすると、次のことが行われます。

  • ターゲットデバイスに一意のパスワードを設定します。
  • 個々のドメインコンピューターアカウントにパスワードを格納します。
  • ターゲットデバイスがドメインにログオンする前に、ターゲットデバイスでパスワードをリセットするために必要な情報を付与します。

パスワード管理のプロセス

Active Directoryと組み合わせたパスワード検証プロセス

パスワード管理が有効な場合、ドメインパスワードの検証プロセスには次の処理が含まれます。

  • データベースにターゲットデバイスのコンピューターアカウントを作成し、そのアカウントにパスワードを割り当てます。
  • Stream Serviceによりアカウント名をターゲットデバイスに提供します。
  • ドメインコントローラーでターゲットデバイスにより提供されるパスワードを検証します。

ドメイン管理の有効化

ドメインにログオンする各ターゲットデバイスには、ドメインコントローラー上にコンピューターアカウントが必要です。このコンピューターアカウントには、Windowsデスクトップオペレーティングシステムにより保守されるユーザーには透過的なパスワードがあります。アカウントパスワードはドメインコントローラーとターゲットデバイスの両方に格納されます。ターゲットデバイスとドメインコントローラーのパスワードが一致しない場合は、ユーザーはターゲットデバイスからドメインにログオンできません。

ドメイン管理は次のタスクを行うことによって有効にします。

  • コンピューターアカウントのパスワード管理の有効化
  • 自動パスワード管理の有効化

コンピューターアカウントのパスワード管理の有効化

コンピューターアカウントのパスワード管理を有効にするには、次の手順に従います。

  1. コンソールでvDiskを右クリックして、[ファイルプロパティ]を選択します。
  2. [オプション]タブの[Active Directoryコンピューターアカウントのパスワード管理]チェックボックスをオンにします。
  3. [OK]をクリックし、[vDiskファイルプロパティ]ダイアログボックスを閉じてStream Serviceを再起動します。

自動パスワード管理の有効化

複数のターゲットデバイスがActive Directoryドメインに属していてvDiskを共有している場合は、次のタスクを追加して実行する必要があります。

自動パスワード管理を有効にするには次のタスクを実行します。

  1. コンソールでProvisioning Servicesサーバーを右クリックし、[プロパティ]を選択します。
  2. [オプション]タブの[パスワードの自動サポートを有効にする]チェックボックスをオンにします。
  3. パスワードを変更する間隔を日数で設定します。
  4. [OK]をクリックして[サーバープロパティ]ダイアログボックスを閉じます。
  5. Stream Serviceを再起動します。

ドメインコンピューターアカウントの管理

ここでドキュメント化されたタスクは、製品の機能を最大限に活用するため、Active DirectoryではなくProvisioning Serverを使用して実行する必要があります。

クロスフォレスト運用のサポート

クロスフォレスト運用をサポートするには

  • DNSが正しくセットアップされていることを確認します(フォレストの信頼のためにDNSを準備する方法については、Microsoft社のWebサイトを参照してください)。
  • 両方のフォレストのフォレスト機能レベルが同じWindows Serverのバージョンであることを確認してください。
  • フォレストの信頼を作成します。Citrix Provisioningで、Citrix Provisioningドメインのユーザーが外部フォレストからドメインにアカウントを作成するには、外部フォレストからCitrix Provisioningのあるフォレストへの入力方向の信頼を作成します。

親子関係のドメインの運用

クロスドメイン構成では、Provisioning Servicesサーバーが親ドメインにあり、子ドメインに属するユーザーが、自身のドメインからCitrix Provisioningを管理したりActive Directoryアカウントを管理したりしたい、という場合がよくあります。

この構成を実装するには

  1. 子ドメインにセキュリティグループを作成します。子ドメインはユニバーサル、グローバル、またはローカルドメイングループにすることができます。子ドメインのユーザーをこのグループのメンバーにします。

  2. 親ドメイン内のProvisioning Servicesコンソールで、子ドメインのセキュリティグループをCitrix Provisioning管理者に設定します。

  3. 子ドメインのユーザーにActive Directory特権がない場合は、Microsoft管理コンソールスナップインの[Active Directoryユーザーとコンピューター]の委任ウィザードを使用して、指定したOUに対してユーザーのコンピューターアカウント権限を割り当て、作成、および削除します。

  4. 子ドメインにCitrix Provisioningコンソールをインストールします。構成は不要です。子ドメインのユーザーとしてProvisioning Servicesサーバーにログオンします。

クロスフォレスト構成

この構成はクロスドメイン構成と似ていますが、Provisioning Servicesコンソール、ユーザー、およびCitrix Provisioning管理者グループが別のフォレスト内のドメインにある点が異なります。手順は親子関係のドメインの場合と同じですが、最初にフォレストの信頼を確立する必要がある点が異なります。

注:

Microsoftは、デフォルトのコンピューターコンテナーに権限を委任しないことを推奨しています。新しいアカウントは、組織単位に作成してください。

他のドメインのユーザーへのProvisioning Services管理者特権の付与

以下の手順をお勧めします。

  1. Citrix Provisioningのあるドメインではなくユーザーの属するドメインのユニバーサルグループに、ユーザーを追加します。
  2. Citrix Provisioningのあるドメインのローカルドメイングループに、ユニバーサルグループを追加します。
  3. ローカルドメイングループをCitrix Provisioning管理者のグループに設定します。

ドメインへのターゲットデバイスの追加

注:

vDiskイメージ用のコンピューター名は、環境内で決して再使用しないでください。

  1. コンソールウィンドウで、1つまたは複数のターゲットデバイス、またはドメインにすべてのターゲットデバイスを追加するデバイスコレクションを右クリックします。[Active Directory]、[コンピューターアカウントの作成]の順に選択します。[Active Directoryの管理]ダイアログボックスが開きます。
  2. [ドメイン]ボックスの一覧からターゲットデバイスを追加するドメインを選択します。または、[ドメインコントローラー]ボックスにターゲットデバイスを追加するドメインコントローラーの名前を入力します。このボックスを空白のままにすると、最初に見つかったドメインコントローラーが使用されます。
  3. [組織単位]ボックスの一覧で、ターゲットデバイスを追加する組織単位を選択または入力します。構文は「親/子」であり、単位はコンマで区切ります。ネストする場合は親を先に指定します。
  4. [デバイスの追加]をクリックして、選択したターゲットデバイスをドメインおよびドメインコントローラーに追加します。各ターゲットデバイスが正常に追加されたかどうかを示す状態メッセージが表示されます。[閉じる]をクリックしてダイアログボックスを閉じます。

ドメインからのターゲットデバイスの削除

  1. コンソールウィンドウで、1つまたは複数のターゲットデバイス、またはドメインにすべてのターゲットデバイスを追加するデバイスコレクションを右クリックします。[Active Directoryの管理]、[コンピューターアカウントの削除]の順に選択します。[Active Directoryの管理]ダイアログボックスが開きます。
  2. [ターゲットデバイス]ボックスでドメインから削除するターゲットデバイスを強調表示して、[デバイスの削除]をクリックします。[閉じる]をクリックしてダイアログボックスを閉じます。

コンピューターアカウントのリセット

注:

Active Directoryマシンアカウントは、ターゲットデバイスが非アクティブの場合にのみリセットできます。

Active Directoryドメインのターゲットデバイスのコンピューターアカウントをリセットするには

  1. コンソールウィンドウで、1つまたは複数のターゲットデバイス、またはドメインにすべてのターゲットデバイスを追加するデバイスコレクションを右クリックし、[Active Directoryの管理]、[コンピューターアカウントのリセット]の順に選択します。[Active Directoryの管理]ダイアログボックスが開きます。

  2. [ターゲットデバイス]ボックスでリセットするターゲットデバイスを強調表示して、[デバイスのリセット]をクリックします。

    注:

    このターゲットデバイスは、最初のターゲットデバイスを準備するときにドメインに追加済みである必要があります。

  3. [閉じる]をクリックしてダイアログボックスを閉じます。

  4. Windows Active Directoryのパスワードの自動的な再ネゴシエーションを無効にします。これを行うには、ドメインコントローラーでグループポリシー「ドメインメンバー:コンピューターアカウントパスワード:定期的な変更を無効にする」を有効にします。

    注:

    このセキュリティポリシー変更を行うには、Active Directoryでコンピューターアカウントを追加および変更できる、十分な特権を持つアカウントでログオンする必要があります。コンピューターアカウントパスワードの変更は、ドメインまたはローカルコンピューターの単位で無効にできます。ドメイン単位でコンピューターアカウントパスワードの変更を無効にすると、ドメインのすべてのメンバーにこの変更が適用されます。ローカルコンピューターの単位で(プライベートイメージモードのvDiskに接続しているターゲットデバイス上のローカルセキュリティポリシーを変更することによって)コンピューターアカウントパスワードの変更を無効にすると、そのvDiskを使用しているターゲットデバイスにのみこの変更が適用されます。

  5. 各ターゲットデバイスを起動します。