O Horizon Cloud requer o uso de duas contas no seu domínio do Active Directory (AD) para usar como contas de serviço. Este tópico descreve os requisitos que essas duas contas devem cumprir.
O Horizon Cloud requer que você especifique duas contas do AD a serem usadas como essas duas contas de serviço.
- Uma conta de bind de domínio que é usada para executar pesquisas em seu domínio do AD.
- Uma conta de ingresso no domínio que é usada para ingressar contas de computador ao domínio e realizar operações de Sysprep.
Observação: Para pods no Microsoft Azure, o sistema usa essa conta de ingresso no domínio em operações que exigem o ingresso de máquinas virtuais ao domínio, como ao importar uma imagem do Microsoft Azure Marketplace, criar instâncias RDSH de farm, criar instâncias de área de trabalho VDI e assim por diante.
Você deve garantir que as contas do Active Directory especificadas para essas contas de serviço atendam aos seguintes requisitos exigidos pelo Horizon Cloud para suas operações. Após a integração do primeiro pod ao seu tenant, use o console administrativo com base na nuvem para fornecer as credenciais para essas contas.
Importante:
- Não use essas contas de serviço em configurações diferentes do registro de domínio do Active Directory do Horizon Cloud. Se você reutilizar essas contas de serviço em outras configurações, poderão ocorrer resultados inesperados. Por exemplo, não reutilize essa mesma conta de BIND de domínio nas definições de configuração do conector do Workspace ONE Access, ou notificações inesperadas sobre a conta de BIND de domínio poderão ser exibidas no Horizon Universal Console.
- Você deve garantir que as suas contas de ingresso no domínio e de bind de domínio continuam a ter as permissões, conforme descrito aqui para todas as OUs e os objetos que você está usando e espera para usar com o sistema. O Horizon Cloud não pode preencher previamente ou prever com antecedência quais grupos do Active Directory convém usar no ambiente. Você deve configurar o Horizon Cloud com a conta de BIND de domínio e a conta de ingresso no domínio usando o console.
Cuidado:
Embora você possa definir o Controle Total nas contas, em vez de definir todas as permissões separadamente, ainda é recomendável que você defina as permissões separadamente.
Conta de BIND de domínio: características obrigatórias
- A conta de bind de domínio não pode expirar, mudar ou ser bloqueada. Você deve utilizar esse tipo de configuração de conta, pois o sistema utiliza a conta de bind de domínio primária como uma conta de serviço para consultar o Active Directory. Se a conta de bind de domínio primária se tornar inacessível por algum motivo, o sistema usará a conta de bind de domínio auxiliar. Se ambas as contas de BIND de domínio primárias e auxiliares expirarem ou se tornarem inacessíveis, você não poderá fazer login no console baseado na nuvem e atualizar a configuração.
Importante: Se ambas as contas de BIND de domínio primárias e auxiliares expirarem ou se tornarem inacessíveis, você não poderá fazer login no console e atualizar a configuração com informações de conta de BIND de domínio de trabalho. Se você não definir Nunca expira nas contas de bind de domínio primárias ou auxiliares, deverá fazer com que elas tenham tempos de expiração diferentes. Você deve acompanhar à medida que o tempo de expiração se aproxima e atualizar as informações da conta de BIND de domínio do Horizon Cloud antes que o tempo de expiração seja atingido.
- A conta de bind de domínio requer o atributo sAMAccountName. O atributo sAMAccountName deve ter 20 caracteres ou menos e não pode conter nenhum dos seguintes caracteres: "/ \ [ ] : ; | = , + * ? < >
- A conta de BIND de domínio sempre recebe a função de Superadministrador, que concede todas as permissões para executar ações de gerenciamento no console. Certifique-se de que a conta de BIND de domínio não esteja acessível para os usuários que você não deseja que tenham permissões de superadministrador. Para obter mais informações sobre as funções usadas pelo console, consulte Boas práticas sobre os dois tipos de função que você concede às pessoas para usarem o Horizon Universal Console para trabalhar no ambiente do Horizon Cloud.
Conta de BIND de domínio: permissões obrigatórias do Active Directory
A conta de BIND de domínio deve ter permissões de leitura que podem pesquisar contas do AD em busca de todas as unidades organizacionais (UOs) do AD que você antecipar usar nas operações de área de trabalho como um serviço que o Horizon Cloud fornece, operações como atribuir VMs da área de trabalho a seus usuários finais. A conta de BIND de domínio precisa da capacidade de enumerar objetos do seu Active Directory. A conta de BIND de domínio requer as seguintes permissões em todas as UOs e os objetos que você antecipa e espera usar com o Horizon Cloud:
- Conteúdo da lista
- Ler todas as propriedades
- Permissões de leitura
- Ler tokenGroupsGlobalAndUniversal (implícita pela permissão Ler todas as propriedades)
Importante: Em geral, as contas de BIND de domínio devem receber as permissões padrão relacionadas ao acesso de leitura prontas para uso que são normalmente concedidas a
Usuários Autenticados em uma implantação do Microsoft Active Directory. Em uma implantação do Microsoft Active Directory pronta para uso, essas configurações padrão que costumam ser concedidas a
Usuários Autenticados normalmente dão a uma conta de usuário de domínio padrão a capacidade de fazer a enumeração necessária de que o
Horizon Cloud precisa para a conta de BIND de domínio. No entanto, se os administradores do AD da sua organização optarem por bloquear permissões relacionadas ao acesso de leitura para usuários regulares, você deverá solicitar que os administradores do AD preservem os padrões de
Usuários Autenticados para as contas de BIND de domínio que você usará para o
Horizon Cloud.
Conta de ingresso no domínio: características obrigatórias
- A conta de ingresso no domínio não pode expirar, mudar ou ser bloqueada.
- O nome de usuário da conta não pode conter espaços em branco. Se o nome contiver um espaço em branco, ocorrerão resultados inesperados nas operações do sistema que dependerem dessa conta.
- A conta de ingresso no domínio requer o atributo sAMAccountName. O atributo sAMAccountName deve ter 20 caracteres ou menos e não pode conter nenhum dos seguintes caracteres: "/ \ [ ] : ; | = , + * ? < >
- Certifique-se de que você atenda a pelo menos um dos seguintes critérios:
- No seu Active Directory, defina a conta de ingresso no domínio como Nunca Expira.
- Como alternativa, configure uma conta auxiliar de ingresso no domínio que tenha um tempo de expiração diferente do que o da primeira conta de ingresso no domínio. Se você optar por esse método, certifique-se de que a conta auxiliar de ingresso no domínio atenda aos mesmos requisitos da conta primária de ingresso no domínio que você configura no console.
Cuidado: Se a conta de ingresso no domínio expirar, e você não tiver nenhuma conta auxiliar de ingresso no domínio configurada, as operações do Horizon Cloud para selar imagens e provisionar VMs RDSH de farm e VMs de área de trabalho VDI falharão.
Importante: Se o seu tenant tiver algum pod do
Horizon Cloud no Microsoft Azure executando manifestos anteriores ao 1600.0, você deverá garantir que a conta de ingresso no domínio que você insere ao registrar o domínio também está em um dos grupos do Active Directory aos quais você atribui a função de superadministrador do
Horizon Cloud. As operações do sistema com esses pods que executam essas versões antigas do manifesto dependem de a conta de ingresso no domínio ter as permissões concedidas pela função de superadministradores do
Horizon Cloud. Para ver uma descrição de como atribuir a função a um grupo, consulte
Atribuir funções a grupos do Active Directory que controlam quais áreas do Horizon Universal Console são ativadas para indivíduos nesses grupos após a autenticação em seu ambiente de tenant do Horizon Cloud.
Conta de ingresso no domínio: permissões obrigatórias do Active Directory
A conta de ingresso no domínio é configurada em um nível de tenant. O sistema usa a mesma conta de ingresso no domínio que está configurada no registro do Active Directory para todas as suas operações relacionadas ao seu domínio com todos os pods na frota de seu tenant.
O sistema realiza verificações de permissões explícitas na conta de ingresso no domínio dentro da UO que você especifica no fluxo de trabalho de registro do Active Directory (na caixa de texto UO Padrão nesse fluxo de trabalho) e dentro de UOs especificadas em farms e atribuições de área de trabalho VDI que você cria, se as caixas de texto UO de Computador desses farms e atribuições forem diferentes da UO padrão no registro do Active Directory.
Para abranger os casos em que você pode usar uma sub-OU, uma boa prática é definir essas permissões obrigatórias de forma que elas sejam aplicadas a todos os objetos descendentes da OU de Computador.
Importante:
- Algumas das permissões do AD na lista são normalmente atribuídas pelo Active Directory às contas, por padrão. No entanto, se você tiver limitado a permissão de segurança no seu Active Directory, deverá garantir que a conta de ingresso no domínio tenha essas permissões para as UOs e os objetos que você antecipa e espera usar com o Horizon Cloud.
- No Microsoft Active Directory, quando você cria uma nova UO, pode ser que o sistema defina automaticamente o atributo
Prevent Accidental Deletionque aplica umDenyà permissão Excluir Todos os Objetos Herdeiros para a UO recém-criada e todos os objetos descendentes. Como resultado, se você tiver atribuído explicitamente a permissão Excluir Objetos de Computador à conta de ingresso no domínio, no caso de uma UO recém-criada, o Active Directory poderá ter aplicado uma substituição a essa permissão Excluir Objetos de Computador explicitamente atribuída. Como limpar o sinalizador Impedir Exclusão Acidental pode não limpar automaticamente oDenyque o Active Directory aplicou à permissão Excluir Todos os Objetos Herdeiros, no caso de uma UO recentemente adicionada, talvez você precise verificar e limpar manualmente o conjunto de permissõesDenypara as permissões Excluir Todos os Objetos Herdeiros na OU e todas as UOs herdeiras antes de usar a conta de ingresso no domínio no console do Horizon Cloud.
Dica: Para manifestos de pod 2474.0 e posterior, o conjunto de permissões necessárias do Active Directory para as contas de ingresso no domínio é reduzido do conjunto anterior para fornecer mais flexibilidade aos tenants. No entanto, como a conta de ingresso no domínio é configurada em um nível de tenant, o sistema usa as mesmas contas de ingresso no domínio nas operações relacionadas ao domínio com todos os pods na frota de seu tenant. Portanto, quando sua frota inclui pods de manifestos anteriores a 2474.0, você deve garantir que suas contas de ingresso no domínio tenham o conjunto anterior de permissões que esses pods exigem. Quando todos os pods do Horizon no Microsoft Azure forem atualizados para o manifesto do pod 2474.0 ou posterior, você poderá adotar o mais novo conjunto reduzido de permissões do Active Directory para suas contas de ingresso no domínio.
| Acessar | Aplica-se a |
|---|---|
| Ler todas as propriedades | Somente este objeto |
| Criar objetos de computador | Este objeto e todos os objetos descendentes |
| Excluir objetos de computador | Este objeto e todos os objetos descendentes |
| Gravar todas as propriedades | Objetos de computador descendentes |
| Redefinir senha | Objetos de computador descendentes |
| Acessar | Aplica-se a |
|---|---|
| Conteúdo da lista | Este objeto e todos os objetos descendentes |
| Ler todas as propriedades | Este objeto e todos os objetos descendentes |
| Criar objetos de computador | Este objeto e todos os objetos descendentes |
| Excluir objetos de computador | Este objeto e todos os objetos descendentes |
| Gravar todas as propriedades | Todos os objetos descendentes |
| Permissões de leitura | Este objeto e todos os objetos descendentes |
| Redefinir senha | Objetos de computador descendentes |
