Depois de configurar seu provedor de identidade, crie duas contas de BIND de domínio e duas de ingresso no domínio na sua conta do Active Directory local. Mais tarde, você usará o Horizon Universal Console para fornecer os detalhes dessas contas ao Horizon Cloud.

O Horizon Cloud exige que você especifique duas instâncias das contas do AD a seguir a serem usadas como contas de serviço.

  • Uma conta de bind de domínio que é usada para executar pesquisas em seu domínio do AD.
  • Uma conta de ingresso no domínio usada para ingressar contas de computador no domínio, remover contas de computador do domínio e executar operações de Sysprep
Importante:

Observe as diretrizes a seguir para as contas Active Directory que você especificar para essas contas de serviço.

  • Se ambas as contas de BIND de domínio primárias e auxiliares expirarem ou se tornarem inacessíveis, o Single Sign-On não funcionará, e você não poderá ingressar em novas áreas de trabalho. Se você não definir Nunca Expira nas contas de bind de domínio principal ou auxiliar, certifique-se de que elas tenham tempos de expiração diferentes. Você deve acompanhar à medida que o tempo de expiração se aproxima e atualizar as informações da conta de BIND de domínio do Horizon Cloud antes que o tempo de expiração seja atingido.
  • Se ambas as contas primárias e auxiliares de ingresso no domínio expirarem ou se tornarem inacessíveis, o single sign-on não funcionará, e você não poderá ingressar em novas áreas de trabalho. Se você não definir Nunca Expira nas contas de ingresso no domínio principal ou auxiliar, certifique-se de que elas tenham tempos de expiração diferentes. Você deve acompanhar à medida que o tempo de expiração se aproxima e atualizar as informações da sua conta de ingresso no domínio do Horizon Cloud antes que o tempo de expiração seja atingido.

Conta de BIND de domínio: permissões obrigatórias do Active Directory

A conta de BIND de domínio deve ter permissões de leitura que possam pesquisar contas do AD em busca de todas as unidades organizacionais (OUs) do AD que você prevê usar nas operações de área de trabalho como um serviço que o Horizon Cloud fornece: operações como atribuir VMs de área de trabalho a seus usuários finais. A conta de BIND de domínio precisa da capacidade de enumerar objetos do seu Active Directory. A conta de BIND de domínio requer as seguintes permissões em todas as UOs e os objetos que você antecipa e espera usar com o Horizon Cloud:

  • Conteúdo da lista
  • Ler todas as propriedades
  • Permissões de leitura
  • Ler tokenGroupsGlobalAndUniversal (implícita pela permissão Ler todas as propriedades)
Importante: Em geral, as contas de BIND de domínio devem receber as permissões padrão relacionadas ao acesso de leitura prontas para uso que são normalmente concedidas a Usuários Autenticados em uma implantação do Microsoft Active Directory. Em uma implantação do Microsoft Active Directory pronta para uso, essas configurações padrão que costumam ser concedidas a Usuários Autenticados normalmente dão a uma conta de usuário de domínio padrão a capacidade de fazer a enumeração necessária de que o Horizon Cloud precisa para a conta de BIND de domínio. No entanto, se os administradores do AD da sua organização optarem por bloquear permissões relacionadas ao acesso de leitura para usuários regulares, você deverá solicitar que os administradores do AD preservem os padrões de Usuários Autenticados para as contas de BIND de domínio que você usará para o Horizon Cloud.

Conta de ingresso no domínio: permissões obrigatórias do Active Directory

A conta de ingresso no domínio é configurada em um nível de tenant. O sistema usa a mesma conta de ingresso no domínio que está configurada no registro do Active Directory para todas as suas operações relacionadas ao seu domínio com todos os pods na frota de seu tenant.

O sistema realiza verificações de permissões explícitas na conta de ingresso no domínio dentro da UO que você especifica no fluxo de trabalho de registro do Active Directory (na caixa de texto UO Padrão nesse fluxo de trabalho) e dentro de UOs especificadas em farms e atribuições de área de trabalho VDI que você cria, se as caixas de texto UO de Computador desses farms e atribuições forem diferentes da UO padrão no registro do Active Directory.

Para abranger os casos em que você pode usar uma sub-OU, uma boa prática é definir essas permissões obrigatórias de forma que elas sejam aplicadas a todos os objetos descendentes da OU de Computador.

Importante:
  • Algumas das permissões do AD na lista são normalmente atribuídas pelo Active Directory às contas, por padrão. No entanto, se você tiver limitado a permissão de segurança no seu Active Directory, deverá garantir que a conta de ingresso no domínio tenha essas permissões para as UOs e os objetos que você antecipa e espera usar com o Horizon Cloud.
  • No Microsoft Active Directory, quando você cria uma nova UO, pode ser que o sistema defina automaticamente o atributo Prevent Accidental Deletion que aplica um Deny à permissão Excluir Todos os Objetos Herdeiros para a UO recém-criada e todos os objetos descendentes. Como resultado, se você tiver atribuído explicitamente a permissão Excluir Objetos de Computador à conta de ingresso no domínio, no caso de uma UO recém-criada, o Active Directory poderá ter aplicado uma substituição a essa permissão Excluir Objetos de Computador explicitamente atribuída. Como limpar o sinalizador Impedir Exclusão Acidental pode não limpar automaticamente o Deny que o Active Directory aplicou à permissão Excluir Todos os Objetos Herdeiros, no caso de uma UO recentemente adicionada, talvez você precise verificar e limpar manualmente o conjunto de permissões Deny para as permissões Excluir Todos os Objetos Herdeiros na OU e todas as UOs herdeiras antes de usar a conta de ingresso no domínio no Horizon Universal Console.

Reutilizar contas de computador

As contas de usuário de ingresso no domínio devem ter permissão para reutilizar contas de computador existentes usando as seguintes etapas:

  • Crie um novo Grupo de Segurança Universal.
  • Adicione todas as contas de usuário de ingresso no domínio ao novo grupo de segurança.
  • Para todos os Objetos de Política de Grupo (GPO) relevantes, ative Controlador de domínio: Permitir reutilização de conta de computador durante ingresso no domínio.
  • Clique em Editar segurança....
  • Na caixa de diálogo Configurações de segurança para proprietários de contas de computador confiáveis, clique em Adicionar.
  • Selecione o novo grupo de segurança e clique em OK.

Realize estas etapas para cada domínio.