Você deve associar cada host do Servidor de Conexão a um domínio Microsoft Active Directory. O host não deve ser um controlador de domínio.
Active Directory também gerencia as máquinas Horizon Agent, incluindo máquinas de usuário único e hosts RDS, e os usuários e grupos em sua implantação do VMware Horizon 8. Você pode autorizar usuários e grupos a áreas de trabalho remotas e aplicativos, e pode selecionar usuários e grupos para serem administradores em VMware Horizon 8.
Você pode colocar Horizon Agent máquinas, usuários e grupos nos seguintes domínios Active Directory:
- O domínio do Servidor de Conexão
- Um domínio diferente que tem uma relação de confiança bidirecional com o domínio do Servidor de Conexão
- Um domínio em uma floresta diferente do domínio do Servidor de Conexão que é confiável pelo domínio do Servidor de Conexão em uma relação de confiança unidirecional externa ou de realm
- Um domínio em uma floresta diferente do domínio do Servidor de Conexão que é confiável pelo domínio do Servidor de Conexão em uma relação de confiança de floresta transitiva unidirecional ou bidirecional
- Domínios não confiáveis
Os usuários são autenticados usando Active Directory no domínio do Servidor de Conexão, quaisquer domínios de usuário adicionais com os quais exista um contrato de confiança e domínios não confiáveis.
Se seus usuários e grupos estiverem em domínios confiáveis unidirecionais, você deverá fornecer credenciais secundárias para os usuários administradores em Horizon Console. Os administradores devem ter credenciais secundárias para conceder-lhes acesso aos domínios confiáveis unidirecionais. Um domínio confiável unidirecional pode ser um domínio externo ou um domínio em uma confiança de floresta transitiva.
As credenciais secundárias são necessárias apenas para sessões do Horizon Console, não para sessões de área de trabalho ou aplicativo dos usuários finais. Somente usuários administradores exigem credenciais secundárias.
Você pode fornecer credenciais secundárias usando o comando vdmadmin -T.
- Configure as credenciais secundárias para usuários administradores individuais.
- Para uma confiança de floresta, você pode configurar credenciais secundárias para o domínio raiz da floresta. O Servidor de Conexão pode enumerar os domínios filho na confiança da floresta.
Para obter mais informações, consulte "Fornecendo credenciais secundárias para administradores usando a opção -T" no documento Administração do Horizon 8.
A autenticação de usuários por smart card e SAML não é compatível com domínios confiáveis unidirecionais.
Não há suporte para acesso não autenticado em um ambiente de confiança unidirecional ao autenticar um usuário de um domínio confiável. Por exemplo, há dois domínios, Domínio A e Domínio B, em que o Domínio B tem uma confiança de saída unidirecional para o Domínio A. Quando você habilita o acesso não autenticado no Servidor de Conexão no Domínio B e adiciona um usuário de acesso não autenticado de uma lista de usuários no Domínio A e, em seguida, autorizar o usuário não autenticado a uma área de trabalho ou pool de aplicativos publicado, o usuário não poderá fazer login como um usuário de acesso não autenticado de Horizon Client.
O recurso Logon como usuário atual em Horizon Client para Windows é compatível com domínios confiáveis unidirecionais.
Domínios não confiáveis
Um domínio em uma floresta diferente do domínio do Servidor de Conexão que não tem nenhuma relação de confiança formal com o domínio do Servidor de Conexão é um relacionamento de domínio não confiável. Para uma relação de domínio não confiável, os usuários são autenticados usando as credenciais da conta de associação de domínio primário. Os usuários poderão ser autenticados com contas de associação de domínio auxiliares somente se a conta de associação de domínio primário estiver inacessível. Para obter mais informações sobre como configurar domínios não confiáveis, consulte "Configurando domínios não confiáveis" no documento Administração do Horizon 8.
- Fazer logon como usuário atual
- Comandos vdmadmin
- Adição de um usuário administrador para um domínio não confiável
- IPv6
- Identificar um usuário do AD que não tenha um UPN do AD