Mecanismos de integración y despliegue con Active directory

5/5 - (2 votos)

Por su naturaleza multi cliente y multi dominio, Flexxible|VDI OS Manager permite la integración con dominio de cliente de varias formas, siendo mandatario que en todos los casos la infraestructura (hypervisores, componentes Citrix, etc) permanezca en un dominio de infraestructura (diferente del dominio cliente) y entre estos dos dominios se establezca una relación de confianza. Al mismo tiempo, cualquier dominio de cliente a integrar puede ser dedicado a un único tenant o puede integrarse en modo multitenant lo cual cambia sensiblemente el comportamiento de los procesos de orquestación en el dominio, así como el login de usuario.

Tipos de integración de dominios cliente

Las diferentes posibilidades de integración con dominio de cliente son:

  • De forma predeterminada, es decir, si no se solicita específicamente un dominio dedicado al cliente, los usuarios, desktops y resto del elementos del tenant estarán en el dominio «Secure», el cual es un dominio de cliente con multitenantcy activado, esta opción no permite la gestión directa por parte del partner y/o cliente del controlador del dominio (sin coste adicional).
  • Es posible también integrar un dominio dedicado al partner con multitenantcy activado, de tal forma que el partner pueda integrar todos sus tenants que no requieran dominio dedicado en este dominio a nivel de partner, donde el partner podrá administrar de forma directa al controlador del dominio, por ejemplo para realizar de forma intensiva gestión de grupos, políticas, etc. (esta opción tiene coste adicional).
  • Nuevo dominio dedicado a tenant, el cliente no quiere extender su dominio al DaaS o no tiene uno en sus sedes y solicita la creación de un nuevo dominio dedicado, el cual contendría todos los usuarios y elementos del entorno y el cual el cliente podría administrar directamente mediante el controlador del dominio.
  • Extender el dominio productivo de cliente, es decir, el cliente tiene en sus sedes activo un dominio en el que ya tiene los usuarios, sus políticas y grupos configurados y quiere mantener ese nivel de gestión en el DaaS y que las maquinas en el DaaS tengan visibilidad de las maquinas en la sede, para ello sera necesario crear una VPN para facilitar la comunicación entre los elementos en ambas infraestructuras y hospedar en el DaaS un controlador secundario del dominio del cliente para agilizar el login de usuario y permitirlo en casi de caída de la VPN o de la sede del cliente.

Requisitos para integrar un dominio

  1. Se deberá crear entre ambos dominio una relación de confianza bidireccional forest wide (esta operación requiere un usuario con acceso administrativo en el dominio cliente).
  2. Se deberán crear reenviadores condicionales para que ambos dominios tengan la capacidad de resolver los nombres de los elementos que contienen(esta operación requiere un usuario con acceso administrativo en el dominio cliente).
  3. Se creara una OU base (normalmente FlexxibleIT) y dentro de esta OU se realizara la orquestación necesaria
  4. Se creara un grupo con permisos de control total sobre esta OU, este grupo contendrá las cuentas MSA que se utilizaran para securizar las gestiones desde Flexxible|VDI OS Manager hacia el Active Directory del cliente.
  5. Se importaran GPO´s necesarias para los escritorios, el detalle de estas políticas se puede consultar aquí.
  6. Se crearan los siguientes grupos para orquestar las políticas de redireccion de dispositivos:
    1. Users with double authentication: usuarios que utilizaran autenticación en dos pasos.
    2. Users with USB redirection: habilita la redirección de dispositivos USB.
    3. Users with COM redirection: habilita la redirección de puertos COM.
    4. Users with LPT1 redirection: habilita la redirección de puertos LPT1.
    5. Users with Local Units redirection: habilita la redirección de unidades locales.
    6. Users with Audio redirection: habilita la redirección de audio.
    7. Users with Printer redirection: habilita la redirección de impresoras.
    8. Users with TWAIN redirection: habilita la redirección TWAIN.
    9. Users with Network drive redirection: habilita la redirección de unidades de red.
  7. También se crearan grupos para orquestación de funciones de la consola:
    1. Template Designers: Usuarios que podrán editar la plantilla.
    2. Users: Todos los usuarios del entorno de escritorios Flexxible|Desktop.
    3. Managers: administradores del tenant.
    4. Remote support team: usuarios a los que se les permite dar asistencia remota al resto de usuarios.
  8. El nivel funcional del dominio debe ser Windows 2008 R2 o superior.
  9. Se debe proveer un usuario para realizar una lectura diaria y cacheo del dominio, este usuario puede ser de solo lectura.

cacheo del dominio

También se permite personalizar el nivel de acceso al domino del cliente:

acceso al domino del cliente

En caso de que en el dominio cliente no se permita la creación de cuentas de maquina o trabajar en diferentes OUs, es totalmente posible aunque requiere configuraciones adicionales, puedes consultar al detalle este tipo de integraciones aquí y aquí.