Product Documentation

管理域计算机帐户

Jun 15, 2017
必须使用 Provisioning Server 执行本文档中记录的任务,而非在 Active Directory 中执行,以便完全利用产品功能。

支持跨林方案

支持跨林方案:
  • 确保正确设置 DNS。(有关如何为创建林信任关系而准备 DNS 的信息,请参阅 Microsoft Web 站点。)
  • 确保两个林的林功能级别为相同版本的 Windows Server。
  • 创建林信任关系。为使 Provisioning Services 和 Provisioning Services 域中的用户能够在另一个林的某个域中创建帐户,应创建一个从外部林到 Provisioning Services 所在林的入站信任。

父子域方案

在一个常用的跨域配置中,Provisioning Server 位于父域中,来自一个或多个子域的用户需要管理 Provisioning Services 及其各自域中的 Active Directory 帐户。

实施此配置:
  1. 在子域中创建一个安全组。(该组可以是通用、全局或本地域组。)将该子域中的某个用户设置为该组的成员。

  2. 在父域中,从 Provisioning Server 控制台将子域安全组设置为 Provisioning Services 管理员。

  3. 如果子域用户没有 Active Directory 权限,请使用 Active Directory 用户和计算机管理控制台中的委派向导针对指定的 OU 分配、创建和删除用户的计算机帐户权限。
  4. 在子域中安装 Provisioning Services 控制台。不需要进行任何配置。以子域用户身份登录 Provisioning Server。

跨林配置

此配置与跨域方案相似,不同点是 Provisioning Services 控制台、用户和 Provisioning Services 管理员组位于一个单独林内的某个域中。其实现步骤与父子域方案相同,但必须首先建立林信任关系。

注意

Microsoft 建议管理员不要委派默认计算机容器的权限。最佳做法是在 OU 中创建新帐户。

向属于其他域的用户授予 Provisioning Services 管理员权限

Citrix 建议使用以下方法:

  1. 将用户添加到其所在域(而非 Provisioning Services 域)的某个通用组中。
  2. 将该通用组添加到 PVS 域的某个本地域组中。
  3. 将该本地域组设置为 PVS 管理员组。

将目标设备添加到域中

将目标设备添加到域中:
注意:在您的环境中,不得重复使用虚拟磁盘映像所使用的计算机名称。
  1. 在控制台窗口中的一个或多个目标设备上单击鼠标右键(或者在设备集合本身上单击鼠标右键,以将该集合中的所有目标设备添加到域中)。选择 Active Directory,然后选择创建计算机帐户。此时将显示“Active Directory 管理”页面。
  2. 从“域”滚动列表中,选择目标设备所属的域,或者在“域控制器”文本框中,键入将添加目标设备的域控制器的名称(如果将文本框保留为空,将使用找到的第一个域控制器)。
  3. 从“组织单位 (OU)”滚动列表中,选择或键入目标设备所属的组织单位(语法为“父项/子项”,列表以逗号分隔;如果嵌套,则父项在最前面)。
  4. 单击 Add devices(添加设备)按钮,以将所选目标设备添加到域和域控制器中。此时将显示状态消息,指示每个目标设备是否成功添加。单击关闭退出对话框。

从域中删除目标设备

  1. 在控制台窗口中的一个或多个目标设备上单击鼠标右键(或者在设备集合本身上单击鼠标右键,以将该集合中的所有目标设备添加到域中)。选择 Active Directory 管理,然后选择删除计算机帐户。此时将显示“Active Directory 管理”页面。
  2. 在“目标设备”表中,突出显示将从域中删除的目标设备,然后单击“删除设备”按钮。单击关闭退出对话框。

重置计算机帐户

注意:仅当目标设备处于非活动状态时才能设置 Active Directory 计算机帐户。
在 Active Directory 域中为目标设备重置计算机帐户:
  1. 在控制台窗口中的一个或多个目标设备上单击鼠标右键(或者在设备集合本身上单击鼠标右键,以将该集合中的所有目标设备添加到域中),选择 Active Directory 管理,然后选择重置计算机帐户。此时将显示“Active Directory 管理”页面。
  2. 在“目标设备”表中,突出显示将重置的目标设备,然后单击重置设备按钮。
    注意:当准备第一个目标设备时,该目标设备应当已经添加到域中。
  3. 单击关闭退出对话框。
  4. 禁用 Windows Active Directory 自动密码重新协商功能。为此,请在域控制器上启用以下组策略:域成员: 禁用计算机帐户密码更改功能
    注意:要更改此项安全策略,登录用户必须具有足够的权限,能够在 Active Directory 中添加和更改计算机帐户。可以选择在域级别或本地级别禁用计算机帐户密码更改功能。如果在域级别禁用计算机帐户密码更改功能,这项更改将应用到域中的所有成员。如果在本地级别进行更改(在连接到专有映像模式虚拟磁盘的目标设备上更改本地安全策略),此项更改仅应用到使用该虚拟磁盘的目标设备。
  5. 引导每台目标设备。