Em um ambiente complexo do Active Directory, sua organização pode ter um cenário no qual os recursos provisionados pelo pod estarão associados a um domínio em uma floresta enquanto suas contas de usuário estiverem em um domínio em outra floresta e você tiver uma relação de confiança externa ou de floresta que permita que os usuários em seus domínios acessem recursos no outro domínio. Este tópico descreve o suporte ao Horizon Cloud para atravessar as relações de confiança externas ou de floresta que estão entre os seus domínios de florestas diferentes.
No console administrativo, você cria o que são chamados de atribuições para autorizar usuários e grupos aos seus recursos provisionados pelo pod. Quando você usa o console para criar uma atribuição de área de trabalho VDI ou um farm, especifique em qual dos domínios registrados na nuvem para localizar as VMs de área de trabalho resultantes ou as VMs de host da sessão de farm. Você também usa o console para configurar as atribuições para fornecer o uso desses recursos aos usuários e grupos nos seus domínios do Active Directory. Para acomodar o uso de ambientes de domínio complexos para essas atribuições, o Horizon Cloud fornece suporte para:
- Autorização dos recursos provisionados por pod que ingressaram em um domínio em uma floresta para usuários e grupos que ingressaram em um domínio em uma floresta diferente.
- Confianças unidirecionais.
Para obter suporte ao Horizon Cloud de suas relações de confiança externa e de floresta, você deve:
- Registrar-se com todos os domínios do Horizon Cloud de todas as florestas que contêm contas que você deseja usar com recursos provisionados a partir dos pods conectados à nuvem. O sistema não pode validar os grupos de uma floresta, a menos que o domínio do grupo seja registrado com o Horizon Cloud. Consulte Tenants de primeira geração - Realizar o primeiro registro de domínio obrigatório do Active Directory para seu tenant da camada de controle do Horizon Cloud e Registrar domínios do Active Directory adicionais como domínios do Active Directory configurados na nuvem com seu ambiente de tenant do Horizon Cloud. Conforme descrito nesses tópicos, todos os pods conectados à nuvem devem ter linha de visão para cada domínio do Active Directory registrado na nuvem.
- Registrar os domínios raiz de floresta de ambos os lados de uma relação de confiança de floresta. Esse requisito deve ser atendido, mesmo que você não tenha usuários ou áreas de trabalho nos domínios raiz da floresta. Esse requisito permite que o Horizon Cloud se conecte às raízes de floresta e decodifique os TDOs (Objetos de Domínio Confiáveis) relevantes.
- Ativar catálogo global para no mínimo um dos domínios registrados em cada floresta. Para o desempenho ideal, todos os domínios registrados devem possuir o catálogo global ativado.
- Para ativar a autorização de grupos de florestas diferentes para a mesma atribuição no Horizon Cloud, registre ao menos um grupo universal para cada floresta.
- Siga uma estrutura hierárquica para o nome DNS e o contexto de nomenclatura de raiz dos domínios de floresta. Por exemplo, se o domínio principal é chamado de example.edu, o domínio herdeiro será chamado de vpc.example.edu, e não vpc.com.
- Evite ter um domínio de uma floresta confiável externamente com um nome NETBIOS que se colide com outro domínio registrado, pois tais domínios são excluídos da enumeração do sistema. O nome NETBIOS registrado prevalecerá sobre um nome NETBIOS conflitante encontrado durante a enumeração do sistema de domínios de floresta confiáveis.