配置虚拟磁盘以实现 Active Directory 管理

将 Provisioning Services 与 Active Directory 集成后,管理员将能够:

  • 选择 Provisioning Services 应用来创建目标设备计算机帐户的 Active Directory 组织单位 (OU)。
  • 使用 Active Directory 管理功能,例如控制委派和组策略。
  • 将 Provisioning Server 配置为自动管理目标设备的计算机帐户密码。

在场内集成 Active Directory 之前,请确认满足以下必备条件:

  • 在构建虚拟磁盘之前,主目标设备已添加到域中
  • 在映像期间运行映像优化向导时,选择了禁用计算机帐户密码更改功能选项

确认满足所有必备条件后,可以为虚拟磁盘添加及分配新的目标设备。然后必须为每个目标设备创建计算机帐户。

管理域密码

当目标设备访问各自处于专有映像模式的虚拟磁盘时,对于管理域密码没有特殊要求。但是,当目标设备访问处于标准映像模式的虚拟磁盘时,Provisioning Server 将为该目标设备指定名称。如果目标设备属于域成员,Provisioning Server 指定的名称和密码必须与该域中对应计算机帐户的相应信息相匹配。否则,目标设备将无法成功登录。因此,Provisioning Server 必须为共享一个虚拟磁盘的多个目标设备管理域密码。

要启用域密码管理功能,必须禁用 Active Directory(或 NT 4.0 域)控制的计算机密码自动重新协商功能,方法是在域或目标设备级别启用禁用计算机帐户密码更改功能安全策略。Provisioning Server 通过其自动密码重新协商功能提供等效功能。

如果从虚拟磁盘引导的目标设备不再需要使用 Active Directory 密码重新协商功能,则在域级别配置的禁用密码更改策略将应用于从本地硬盘驱动器引导的任何域成员。但是,这可能不是您所希望的结果。最好在本地级别禁用计算机帐户密码更改功能,为此,请在构建虚拟磁盘映像时选择“优化”选项。此设置随后将应用于从共享虚拟磁盘映像引导的任何目标设备。

注意:

Provisioning Server 不会以任何方式更改或扩展 Active Directory 架构。Provisioning Server 的功能是在 Active Directory 中创建或修改计算机帐户以及重置密码。

域密码管理功能启用后可以:

  • 为一个目标设备设置唯一的密码。
  • 将密码存储在各自的域计算机帐户中。
  • 提供必要的信息,以在目标设备登录到域之前重置密码。

密码管理过程

Active Directory 的密码验证过程

启用密码管理功能后,域密码验证过程将包括:

  • 在数据库中为目标设备创建计算机帐户,然后为该帐户指定密码。
  • 使用 Streaming Service 为目标设备提供帐户名称。
  • 让域控制器对目标设备提供的密码进行验证。

启用域管理

登录到域的每个目标设备都需要在域控制器上有一个计算机帐户。该计算机帐户有一个密码,由 Windows 桌面操作系统维护,并对用户透明。该帐户密码同时存储在域控制器和目标设备上。如果存储在目标设备上的密码与存储在域控制器上的密码不匹配,用户将无法从目标设备登录域。

通过完成以下任务可以激活域管理功能:

  • 启用计算机帐户密码管理功能
  • 启用自动密码管理功能

启用计算机帐户密码管理功能

要启用计算机帐户密码管理功能,请完成以下操作:

  1. 在控制台中,右键单击虚拟磁盘,然后选择“文件属性”菜单选项。
  2. 在“选项”选项卡上,选择 Active Directory 计算机帐户密码管理。
  3. 单击确定,然后关闭属性对话框,再重新启动 Streaming Service。

启用自动密码管理功能

如果目标设备既属于一个 Active Directory 域,又共享一个虚拟磁盘,则必须完成以下额外的步骤:

要启用自动密码支持功能,请完成以下操作:

  1. 在控制台中,右键单击 Provisioning Server,然后选择“属性”菜单选项。
  2. 在“选项”选项卡上,选择“启用自动密码支持”选项。
  3. 设置密码更改的间隔天数。
  4. 单击“确定”关闭“服务器属性”对话框。
  5. 重新启动 Streaming Service。

管理域计算机帐户

必须使用 Provisioning Server 执行本文档中记录的任务,而非在 Active Directory 中执行,以便完全利用产品功能。

支持跨林方案

支持跨林方案:

  • 确保正确设置 DNS。(有关如何为创建林信任关系而准备 DNS 的信息,请参阅 Microsoft Web 站点。)
  • 确保两个林的林功能级别为相同版本的 Windows Server。
  • 创建林信任关系。为使 Provisioning Services 和 Provisioning Services 域中的用户能够在另一个林的某个域中创建帐户,应创建一个从外部林到 Provisioning Services 所在林的入站信任。

父子域方案

在一个常用的跨域配置中,Provisioning Server 位于父域中,来自一个或多个子域的用户需要管理 Provisioning Services 及其各自域中的 Active Directory 帐户。

实施此配置:

  1. 在子域中创建一个安全组。(该组可以是通用、全局或本地域组。)将该子域中的某个用户设置为此组的成员。

  2. 在父域中,从 Provisioning Server 控制台将子域安全组设置为 Provisioning Services 管理员。

  3. 如果子域用户没有 Active Directory 权限,请使用 Active Directory 用户和计算机管理控制台中的“委派向导”针对指定的组织单位分配、创建和删除用户的计算机帐户权限。

  4. 在子域中安装 Provisioning Services 控制台。不需要进行任何配置。以子域用户身份登录 Provisioning Server。

跨林配置

此配置与跨域方案相似,不同点是 Provisioning Services 控制台、用户和 Provisioning Services 管理员组位于一个单独林内的某个域中。其实现步骤与父子域方案相同,但必须首先建立林信任关系。

注意:

Microsoft 建议管理员不要委派默认计算机容器的权限。最佳做法是在组织单位中创建新帐户。

向属于其他域的用户授予 Provisioning Services 管理员权限

Citrix 建议使用以下方法:

  1. 将用户添加到其所在域(而非 Provisioning Services 域)的某个通用组中。
  2. 将该通用组添加到 PVS 域的某个本地域组中。
  3. 将该本地域组设置为 PVS 管理员组。

将目标设备添加到域中

注意:

在您的环境中,不得重复使用虚拟磁盘映像所使用的计算机名称。

  1. 在控制台窗口中,右键单击一个或多个目标设备(或者右键单击设备集合本身,以将该集合中的所有目标设备添加到域中)。选择“Active Directory”,然后选择“创建计算机帐户”。此时将显示“Active Directory 管理”页面。
  2. 从“域”滚动列表中,选择目标设备所属的域,或者在“域控制器”文本框中,键入将添加目标设备的域控制器的名称(如果将文本框保留为空,将使用找到的第一个域控制器)。
  3. 从“组织单位 (OU)”滚动列表中,选择或键入目标设备所属的组织单位(语法为“父项/子项”,列表以逗号分隔;如果嵌套,则父项在最前面)。
  4. 单击“添加设备”按钮,以将所选目标设备添加到域和域控制器中。此时将显示状态消息,指示每个目标设备是否成功添加。单击“关闭”退出对话框。

从域中删除目标设备

  1. 在控制台窗口中,右键单击一个或多个目标设备(或者右键单击设备集合本身,以将该集合中的所有目标设备添加到域中)。选择“Active Directory 管理”,然后选择“删除计算机帐户”。此时将显示“Active Directory 管理”页面。
  2. 在“目标设备”表中,突出显示将从域中删除的目标设备,然后单击“删除设备”按钮。单击关闭退出对话框。

重置计算机帐户

注意:

仅当目标设备处于非活动状态时才能设置 Active Directory 计算机帐户。

在 Active Directory 域中为目标设备重置计算机帐户:

  1. 在控制台窗口中,右键单击一个或多个目标设备(或者右键单击设备集合本身,以将此集合中的所有目标设备添加到域中),选择“Active Directory 管理”,然后选择“重置计算机帐户”。此时将显示“Active Directory 管理”页面。

  2. 在“目标设备”表中,突出显示将重置的目标设备,然后单击“重置设备”按钮。

    注意:

    当准备第一个目标设备时,该目标设备应当已经添加到域中。

  3. 单击关闭退出对话框。

  4. 禁用 Windows Active Directory 自动密码重新协商功能。为此,请在域控制器上启用以下组策略:域成员: 禁用计算机帐户密码更改功能。

    注意:

    要更改此项安全策略,登录用户必须具有足够的权限,能够在 Active Directory 中添加和更改计算机帐户。可以选择在域级别或本地级别禁用计算机帐户密码更改功能。如果在域级别禁用计算机帐户密码更改功能,这项更改将应用到域中的所有成员。如果在本地级别进行更改(在连接到专有映像模式虚拟磁盘的目标设备上更改本地安全策略),此项更改仅应用到使用该虚拟磁盘的目标设备。

  5. 引导每台目标设备。

配置虚拟磁盘以实现 Active Directory 管理