默认情况下,自动桌面池、手动桌面池和场在根访问组中创建,在 Horizon Administrator 中显示为 / 或 Root(/)。已发布的桌面池和应用程序池将继承其场的访问组。您可以在根访问组下创建访问组,然后将特定池或场的管理权委托给不同的管理员。
注: 您无法直接更改已发布桌面池或应用程序池的访问组。您必须更改已发布桌面池或应用程序池所属的场的访问组。
虚拟机或物理机从其桌面池继承访问组。连接的永久磁盘从其计算机继承访问组。包括根访问组在内,最多可以有 100 个访问组。
通过在访问组上为管理员分配角色,就可以为管理员配置对该访问组中资源的访问权限。管理员只能访问为其分配了相应角色的访问组中的资源。管理员在访问组上的角色决定了其对该访问组中资源所具有的访问权限级别。
由于角色可从根访问组继承而来,因此在根访问组上具有某个角色的管理员在所有访问组上都具有该角色。在根访问组上具有管理员角色的管理员是超级管理员,因为他们对系统中的所有对象具有完全访问权限。
角色必须包含至少一个特定于对象的特权才能应用于访问组。只包含全局特权的角色不能应用于访问组。
您可以使用 Horizon Administrator 创建访问组,并将现有桌面池移到访问组中。创建自动桌面池、手动池或场时,您可以接受默认根访问组,也可以选择其他访问组。
注: 如果您想要通过
VMware Identity Manager 提供对桌面和应用程序的访问,请确认您在 Horizon Administrator 中以拥有根访问组的管理员角色的用户身份来创建桌面和应用程序池。如果您向用户提供根访问组以外的其他访问组的管理员角色,
VMware Identity Manager 将不会识别您在
Horizon 7 中配置的 SAML 身份验证器,并且您也将无法在
VMware Identity Manager 中配置池。