在对基于云的管理控制台进行身份验证的过程中,使用 My VMware 帐户对初始登录屏幕进行身份验证后,贵组织中的人员将根据您在环境中注册的 Active Directory 域,在第二个登录屏幕中输入其 Active Directory 用户帐户凭据。系统提供了可分配给各 Active Directory 组的预定义角色。这些与 Active Directory 域相关的角色可控制在已登录人员浏览控制台时,控制台的哪些区域处于可见且已启用状态,以及哪些区域处于可见但已停用状态。您必须将相应角色分配给组织中的相应 Active Directory 组,以便该组中的用户可以使用控制台执行所需的工作活动。

控制台将使用两种类型的角色来确定用户经过身份验证的会话允许该用户在控制台中查看哪些区域,以及用户能够对其可查看的控制台区域执行哪些操作,您使用此处所述步骤分配的角色即是这两种角色之一。在标准登录工作流中,控制台的第一个登录屏幕使用 My VMware 帐户,这些帐户与使用“常规设置”页面的角色相关联。第二个登录屏幕使用 Active Directory 凭据,这些凭据与使用“角色和权限”页面的角色相关联。这些与 Active Directory 域相关的角色决定了控制台中各功能和元素的可见性。此类角色还决定着在人员浏览控制台时哪些用户界面元素可能会显示为已停用。例如,Active Directory 组中分配了技术支持部门只读管理员角色的人员可以导航到最终用户的用户卡并查看信息,但无法对桌面执行操作。Active Directory 组中分配了技术支持部门管理员角色的人员可以导航到用户卡,并执行故障排除操作以及查看信息。

这些与 Active Directory 域相关的角色将与您组织中的人员在使用标准登录工作流登录时所用的 My VMware 帐户中的角色结合使用。因此,您必须确保两种角色的总体组合能够继续反映要向特定个人提供的所需结果,即使该人员更换了职位和移到了组织中的其他 Active Directory 组,也要确保这一点。有关这两类角色的详细信息以及最佳的角色组合方式,请参阅关于为要使用 Horizon Cloud 管理控制台在 Horizon Cloud 环境中工作的人员提供的两种类型角色的最佳实践

注: Horizon Cloud 管理控制台 中不会显示使用 Horizon Cloud Service 平台通过 VMware Cloud Services ( cloud.vmware.com) 进行的角色更改。您必须直接在 Horizon Cloud 管理控制台中进行角色更改,如下所述。
小心: 请记住,超级管理员角色可控制您的哪些 AD 用户帐户可以登录到 Horizon Cloud 租户帐户并在控制台中执行管理操作,包括执行此处介绍的将角色分配给 AD 组的步骤。如果您只为一个 AD 组分配了超级管理员角色,那么在为其他管理员组添加此超级管理员角色之前,请不要从 Active Directory 系统中移除该管理员组,或更改 Active Directory 系统中显示的该组的 GUID。如果您从 Active Directory 系统中移除了该组或更改了其在 Active Directory 系统中显示的 GUID,所做更改将不会传递到 Horizon Cloud 控制平面,从而 Horizon Cloud 会错误地认为该 AD 组具有超级管理员角色。如果该组是分配给超级管理员角色的唯一组,则可能会导致之前可通过超级管理员访问级别登录的所有 AD 帐户都将无法再登录并执行管理操作,包括执行将角色分配给 AD 组以重新建立一组具有超级管理员访问权限的 AD 帐户的操作。域绑定帐户始终分配有超级管理员角色。如果您已移除分配给超级管理员角色的唯一 AD 组,并且域绑定帐户不在该组中,您可以尝试使用域绑定帐户凭据登录到控制台,然后执行这些步骤以将超级管理员角色分配给新的 AD 组。但是,如果您无法使用域绑定帐户成功登录,则必须与 VMware 技术支持团队联系,以协助您恢复对租户帐户的管理访问权限。
重要事项: 只能将这些 Horizon Cloud 角色分配给组。您无法为每个角色选择单个 Active Directory 用户帐户。
  • 如果连接到云的容器位于 Microsoft Azure 中,在涉及到域加入帐户时,了解这一点至关重要。如果您为 Microsoft Azure 中的初始容器注册的域加入帐户尚未位于某个 Active Directory 组中,请为该帐户创建一个 Active Directory 组,以便确保可以将超级管理员角色分配给该域加入帐户。必须向该域加入帐户授予超级管理员角色,以便涉及将虚拟机加入域的系统操作可以在 Microsoft Azure 中的容器内正常执行。有关更多详细信息,请参阅Horizon Cloud 执行操作所需的服务帐户
  • 这表明了,角色只能分配给组,不能分配给个人帐户,这意味着您必须避免将两个角色分配给同一个 Active Directory 域组。超级管理员角色旨在授予在控制台中执行所有管理操作的所有权限,而演示管理员角色是一个只读角色。如果将这两个角色都分配给同一个 Active Directory 组,则该组中的所有用户都不会获得超级管理员角色的权限。其操作在控制台中受限制,这可能导致无法全面管理您的环境。

默认情况下,将提供以下预定义角色。预定义角色无法修改。

表 1. Horizon Cloud 基于角色的访问控制组
角色 说明
超级管理员 强制角色,您必须至少将其分配给 Active Directory 域中的一个组,也可选择分配给其他组。此角色将授予访问控制台所有区域并在控制台中执行管理操作所需的权限。
重要事项: 确保在第一个容器中注册 Active Directory 域时指定的域加入帐户位于授予了超级管理员角色的某个组中。要成功完成涉及映像和域加入操作的端到端操作,必须为域加入帐户授予超级管理员角色。

主和辅助域绑定帐户始终分配有超级管理员角色,该角色授予在控制台中执行管理操作所需的所有权限。对于不希望其具有超级管理员权限的那些用户,您应确保他们无法获得指定的域绑定帐户。

技术支持部门管理员 您可以选择将该角色分配给一个或多个组。该角色的用途是提供控制台的访问权限,以便具有该角色的 Active Directory 组可以使用用户卡功能执行以下操作:
  • 查看最终用户会话的状态。
  • 对会话执行故障排除操作。
技术支持部门只读管理员 您可以选择将该角色分配给一个或多个组。该角色的用途是提供控制台的访问权限,以便具有该角色的 Active Directory 组可以使用用户卡功能查看最终用户会话的状态。
演示管理员 您可以选择将该角色分配给一个或多个组。当与 My VMware 帐户上的客户管理员只读角色配对后,该组中的用户可以在控制台中查看设置和选择各个选项以查看更多选项,但所做的选择不会更改配置设置。

前提条件

小心: 在将角色分配给现有 Active Directory 组之前,请查看 Active Directory 组中的用户帐户成员身份以确保用户帐户仅收到其中的一个 Horizon Cloud 角色。如果需要,请创建特定的 Active Directory 组。由于这些角色是在 Active Directory 组级别分配的,因此,如果用户的 Active Directory 帐户属于两个 Active Directory 组,并且为每个组分配了不同的角色,则可能会出现一些意外的结果。控制台功能是按照以下优先顺序显示的:
  1. 超级管理员
  2. 技术支持部门管理员
  3. 演示管理员
  4. 技术支持部门只读管理员

由于采用该优先顺序,如果用户的 Active Directory 帐户属于 Active Directory 组 ADGroup1 和 ADGroup2,为 ADGroup1 分配超级管理员角色,并为 ADGroup2 分配技术支持部门只读管理员角色,则控制台根据超级管理员角色显示所有功能,而不是根据另一个角色显示一部分功能,因为超级管理员角色优先。

此外,还要查看分配给组成员的 My VMware 帐户的角色,以确保这些角色与您为其 Active Directory 组分配的角色相一致。请按照关于为要使用 Horizon Cloud 管理控制台在 Horizon Cloud 环境中工作的人员提供的两种类型角色的最佳实践中介绍的最佳组合方式操作。

过程

  1. 在控制台中,导航到设置 > 角色和权限
  2. 选择其中一个预定义角色,然后单击编辑
  3. 使用搜索框搜索 Active Directory 组并将其选定。
    您必须在搜索框中键入至少三个字符才会显示结果。
    该组会被添加到一组选定的组中。
  4. 单击保存

后续步骤

确保域组中的用户在其 My VMware 帐户中具有适当的角色。请参阅关于为要使用 Horizon Cloud 管理控制台在 Horizon Cloud 环境中工作的人员提供的两种类型角色的最佳实践为组织中的人员授予管理角色以使用 Horizon Cloud 管理控制台登录到 Horizon Cloud 租户环境并在其中执行操作