O Horizon Cloud requer o uso de duas contas no seu domínio do Active Directory (AD) para usar como contas de serviço. Este tópico descreve os requisitos que essas duas contas devem cumprir.
O Horizon Cloud requer que você especifique duas contas do AD a serem usadas como essas duas contas de serviço.
- Uma conta de bind de domínio que é usada para executar pesquisas em seu domínio do AD.
- Uma conta de ingresso no domínio que é usada para ingressar contas de computador ao domínio e realizar operações de Sysprep.
Você usa o Console Administrativo para fornecer as credenciais para essas contas ao Horizon Cloud.
Você deve garantir que as contas do Active Directory especificadas para essas contas de serviço atendam aos seguintes requisitos exigidos pelo Horizon Cloud para suas operações.
Requisitos da conta de bind de domínio
- A conta de bind de domínio não pode expirar, mudar ou ser bloqueada. Você deve utilizar esse tipo de configuração de conta, pois o sistema utiliza a conta de bind de domínio primária como uma conta de serviço para consultar o Active Directory. Se a conta de bind de domínio primária se tornar inacessível por algum motivo, o sistema usará a conta de bind de domínio auxiliar. Se ambas as contas de BIND de domínio primárias e auxiliares expirarem ou se tornarem inacessíveis, você não poderá fazer login no Console Administrativo e atualizar a configuração.
Importante: Se ambas as contas de BIND de domínio primárias e auxiliares expirarem ou se tornarem inacessíveis, você não poderá fazer login no Console Administrativo e atualizar a configuração com informações de conta de BIND de domínio de trabalho. Se você não definir Nunca expira nas contas de bind de domínio primárias ou auxiliares, deverá fazer com que elas tenham tempos de expiração diferentes. Você deve acompanhar à medida que o tempo de expiração se aproxima e atualizar as informações da conta de BIND de domínio do Horizon Cloud antes que o tempo de expiração seja atingido.
- A conta de bind de domínio requer o atributo sAMAccountName. O atributo sAMAccountName deve ter 20 caracteres ou menos e não pode conter nenhum dos seguintes caracteres: "/ \ [ ] : ; | = , + * ? < >
- No mínimo, a conta de BIND de domínio deve ter permissões de leitura que podem pesquisar contas do AD em busca de todas as unidades organizacionais (UOs) do AD que você antecipar usar nas operações de área de trabalho como um serviço que o Horizon Cloud fornece, como atribuir VMs da área de trabalho a seus usuários finais. A conta de BIND de domínio precisa da capacidade de enumerar objetos do seu Active Directory.
Importante:
- As configurações típicas padrão no Active Directory dão a uma conta de usuário do domínio padrão a capacidade de fazer essa enumeração. No entanto, se você tiver limitado a permissão de segurança no seu Active Directory, deverá garantir que a conta de associação de domínio tenham permissões de leitura para todas as UOs e os objetos que você antecipa e espera usar com o Horizon Cloud.
- A conta de BIND de domínio sempre recebe a função de superadministrador, que concede todas as permissões para executar ações de gerenciamento no Console Administrativo. Certifique-se de que a conta de BIND de domínio não esteja acessível para os usuários que você não deseja que tenham permissões de superadministrador.
Requisitos da conta de ingresso no domínio
- A conta de ingresso no domínio não pode expirar, mudar ou ser bloqueada.
- Certifique-se de que você atenda a pelo menos um dos seguintes critérios:
- No seu Active Directory, defina a conta de ingresso no domínio como Nunca Expira.
- Como alternativa, configure uma conta auxiliar de ingresso no domínio que tenha um tempo de expiração diferente do que o da primeira conta de ingresso no domínio. Se você optar por esse método, certifique-se de que a conta auxiliar de ingresso no domínio atenda aos mesmos requisitos da conta primária de ingresso no domínio que você configura no Console Administrativo.
Cuidado: Se a conta de ingresso no domínio expirar, e você não tiver nenhuma conta auxiliar de ingresso no domínio configurada, as operações do Horizon Cloud para selar imagens e provisionar VMs RDSH de farm e VMs de área de trabalho VDI falharão. - A conta de ingresso no domínio requer o atributo sAMAccountName. O atributo sAMAccountName deve ter 20 caracteres ou menos e não pode conter nenhum dos seguintes caracteres: "/ \ [ ] : ; | = , + * ? < >
- A conta de ingresso no domínio precisa de permissões do AD na lista a seguir.
Importante: Algumas das permissões do AD na lista são normalmente atribuídas pelo Active Directory às contas, por padrão. No entanto, se você tiver limitado a permissão de segurança no seu Active Directory, deverá garantir que a conta de ingresso no domínio tenha essas permissões para as UOs e os objetos que você antecipa e espera usar com o Horizon Cloud.
O sistema realiza verificações de permissões explícitas na conta de ingresso no domínio dentro da UO que você especifica no fluxo de trabalho de registro do Active Directory (na caixa de texto UO Padrão nesse fluxo de trabalho) e dentro de UOs especificadas em farms e atribuições de área de trabalho VDI que você cria, se as caixas de texto UO de Computador desses farms e atribuições forem diferentes da UO padrão no registro do Active Directory.
Para abranger os casos em que você pode usar uma sub-OU, uma prática recomendada é definir essas permissões de forma que elas sejam aplicadas a todos os objetos descendentes da OU de Computador. As permissões do AD necessárias na conta de ingresso no domínio são mostradas na tabela abaixo.
Acessar Aplica-se a Conteúdo da lista Este objeto e todos os objetos descendentes Ler todas as propriedades Este objeto e todos os objetos descendentes Gravar todas as propriedades Todos os objetos descendentes Permissões de leitura Este objeto e todos os objetos descendentes Redefinir senha Objetos de computador descendentes Criar objetos de computador Este objeto e todos os objetos descendentes Excluir objetos de computador Este objeto e todos os objetos descendentes
Embora você possa definir o Controle Total em vez de definir todas as permissões separadamente, ainda é recomendável que você defina as permissões separadamente.
- Conteúdo da lista
- Ler todas as propriedades
- Gravar todas as propriedades
- Permissões de leitura
- Redefinir senha
- Criar objetos de computador
- Excluir objetos de computador