O Horizon Cloud requer o uso de duas contas no seu domínio do Active Directory (AD) para usar como contas de serviço. Este tópico descreve os requisitos que essas duas contas devem cumprir.

O Horizon Cloud requer que você especifique duas contas do AD a serem usadas como essas duas contas de serviço.

  • Uma conta de bind de domínio que é usada para executar pesquisas em seu domínio do AD.
  • Uma conta de ingresso no domínio que é usada para ingressar contas de computador ao domínio e realizar operações de Sysprep.
    Observação: Para pods no Microsoft Azure, o sistema usa essa conta de ingresso no domínio em operações que exigem o ingresso de máquinas virtuais ao domínio, como ao importar uma imagem do Microsoft Azure Marketplace, criar instâncias RDSH de farm, criar instâncias de área de trabalho VDI e assim por diante.

Você usa o console administrativo baseado na nuvem para fornecer as credenciais para essas contas ao Horizon Cloud.

Você deve garantir que as contas do Active Directory especificadas para essas contas de serviço atendam aos seguintes requisitos exigidos pelo Horizon Cloud para suas operações.

Importante: Você deve garantir que as suas contas de ingresso no domínio e de bind de domínio continuam a ter as permissões, conforme descrito aqui para todas as OUs e os objetos que você está usando e espera para usar com o sistema. O Horizon Cloud não pode preencher previamente ou prever com antecedência quais grupos do Active Directory convém usar no ambiente. Você deve configurar o Horizon Cloud com a conta de BIND de domínio e a conta de ingresso no domínio usando o console.

Requisitos da conta de bind de domínio

  • A conta de bind de domínio não pode expirar, mudar ou ser bloqueada. Você deve utilizar esse tipo de configuração de conta, pois o sistema utiliza a conta de bind de domínio primária como uma conta de serviço para consultar o Active Directory. Se a conta de bind de domínio primária se tornar inacessível por algum motivo, o sistema usará a conta de bind de domínio auxiliar. Se ambas as contas de BIND de domínio primárias e auxiliares expirarem ou se tornarem inacessíveis, você não poderá fazer login no console baseado na nuvem e atualizar a configuração.
    Importante: Se ambas as contas de BIND de domínio primárias e auxiliares expirarem ou se tornarem inacessíveis, você não poderá fazer login no console e atualizar a configuração com informações de conta de BIND de domínio de trabalho. Se você não definir Nunca expira nas contas de bind de domínio primárias ou auxiliares, deverá fazer com que elas tenham tempos de expiração diferentes. Você deve acompanhar à medida que o tempo de expiração se aproxima e atualizar as informações da conta de BIND de domínio do Horizon Cloud antes que o tempo de expiração seja atingido.
  • A conta de bind de domínio requer o atributo sAMAccountName. O atributo sAMAccountName deve ter 20 caracteres ou menos e não pode conter nenhum dos seguintes caracteres: "/ \ [ ] : ; | = , + * ? < >
  • A conta de BIND de domínio deve ter permissões de leitura que podem pesquisar contas do AD em busca de todas as unidades organizacionais (UOs) do AD que você antecipar usar nas operações de área de trabalho como um serviço que o Horizon Cloud fornece, operações como atribuir VMs da área de trabalho a seus usuários finais. A conta de BIND de domínio precisa da capacidade de enumerar objetos do seu Active Directory. A conta de BIND de domínio requer as seguintes permissões em todas as UOs e os objetos que você antecipa e espera usar com o Horizon Cloud:
    • Conteúdo da lista
    • Ler todas as propriedades
    • Permissões de leitura
    • Ler tokenGroupsGlobalAndUniversal (implícita pela permissão Ler todas as propriedades)
    Importante: Em geral, as contas de BIND de domínio devem receber as permissões padrão relacionadas ao acesso de leitura prontas para uso que são normalmente concedidas a Usuários Autenticados em uma implantação do Microsoft Active Directory. Em uma implantação do Microsoft Active Directory pronta para uso, essas configurações padrão que costumam ser concedidas a Usuários Autenticados normalmente dão a uma conta de usuário de domínio padrão a capacidade de fazer a enumeração necessária de que o Horizon Cloud precisa para a conta de BIND de domínio. No entanto, se os administradores do AD da sua organização optarem por bloquear permissões relacionadas ao acesso de leitura para usuários regulares, você deverá solicitar que os administradores do AD preservem os padrões de Usuários Autenticados para as contas de BIND de domínio que você usará para o Horizon Cloud.
  • A conta de BIND de domínio sempre recebe a função de Superadministrador, que concede todas as permissões para executar ações de gerenciamento no console. Certifique-se de que a conta de BIND de domínio não esteja acessível para os usuários que você não deseja que tenham permissões de superadministrador.

Requisitos da conta de ingresso no domínio

  • A conta de ingresso no domínio não pode expirar, mudar ou ser bloqueada.
  • Certifique-se de que você atenda a pelo menos um dos seguintes critérios:
    • No seu Active Directory, defina a conta de ingresso no domínio como Nunca Expira.
    • Como alternativa, configure uma conta auxiliar de ingresso no domínio que tenha um tempo de expiração diferente do que o da primeira conta de ingresso no domínio. Se você optar por esse método, certifique-se de que a conta auxiliar de ingresso no domínio atenda aos mesmos requisitos da conta primária de ingresso no domínio que você configura no console.
    Cuidado: Se a conta de ingresso no domínio expirar, e você não tiver nenhuma conta auxiliar de ingresso no domínio configurada, as operações do Horizon Cloud para selar imagens e provisionar VMs RDSH de farm e VMs de área de trabalho VDI falharão.
  • A conta de ingresso no domínio requer o atributo sAMAccountName. O atributo sAMAccountName deve ter 20 caracteres ou menos e não pode conter nenhum dos seguintes caracteres: "/ \ [ ] : ; | = , + * ? < >
  • A conta de ingresso no domínio precisa de permissões do AD na lista a seguir.
    Importante:
    • Algumas das permissões do AD na lista são normalmente atribuídas pelo Active Directory às contas, por padrão. No entanto, se você tiver limitado a permissão de segurança no seu Active Directory, deverá garantir que a conta de ingresso no domínio tenha essas permissões para as UOs e os objetos que você antecipa e espera usar com o Horizon Cloud.
    • No Microsoft Active Directory, quando você cria uma nova UO, pode ser que o sistema defina automaticamente o atributo Prevent Accidental Deletion que aplica um Deny à permissão Excluir Todos os Objetos Herdeiros para a UO recém-criada e todos os objetos descendentes. Como resultado, se você tiver atribuído explicitamente a permissão Excluir Objetos de Computador à conta de ingresso no domínio, no caso de uma UO recém-criada, o Active Directory poderá ter aplicado uma substituição a essa permissão Excluir Objetos de Computador explicitamente atribuída. Como limpar o sinalizador Impedir Exclusão Acidental pode não limpar automaticamente o Deny que o Active Directory aplicou à permissão Excluir Todos os Objetos Herdeiros, no caso de uma UO recentemente adicionada, talvez você precise verificar e limpar manualmente o conjunto de permissões Deny para as permissões Excluir Todos os Objetos Herdeiros na OU e todas as UOs herdeiras antes de usar a conta de ingresso no domínio no console do Horizon Cloud.

    O sistema realiza verificações de permissões explícitas na conta de ingresso no domínio dentro da UO que você especifica no fluxo de trabalho de registro do Active Directory (na caixa de texto UO Padrão nesse fluxo de trabalho) e dentro de UOs especificadas em farms e atribuições de área de trabalho VDI que você cria, se as caixas de texto UO de Computador desses farms e atribuições forem diferentes da UO padrão no registro do Active Directory.

    Para abranger os casos em que você pode usar uma sub-OU, uma prática recomendada é definir essas permissões de forma que elas sejam aplicadas a todos os objetos descendentes da OU de Computador. As permissões do AD necessárias na conta de ingresso no domínio são mostradas na tabela abaixo.

    Acessar Aplica-se a
    Conteúdo da lista Este objeto e todos os objetos descendentes
    Ler todas as propriedades Este objeto e todos os objetos descendentes
    Gravar todas as propriedades Todos os objetos descendentes
    Permissões de leitura Este objeto e todos os objetos descendentes
    Redefinir senha Objetos de computador descendentes
    Criar objetos de computador Este objeto e todos os objetos descendentes
    Excluir objetos de computador Este objeto e todos os objetos descendentes
Cuidado:

Embora você possa definir o Controle Total em vez de definir todas as permissões separadamente, ainda é recomendável que você defina as permissões separadamente.