能否在 Horizon Console 中执行任务由一个访问控制系统掌控，该系统由管理员角色和特权组成。该系统类似于 vCenter Server 访问控制系统。

管理员角色就是一组特权的集合。特权可授予执行特定操作的能力，例如授予用户对桌面池的权限。特权还控制管理员可在 Horizon Console 中查看的内容。例如，如果某个管理员不具有查看或修改全局策略的特权，那么该管理员登录到 Horizon Console 时将看不到导航面板中的全局策略设置。如果某个管理员不具有修改全局策略的特权，则在该管理员登录到 Horizon Console 时，“全局策略”页面上的按钮将处于禁用状态，并且将无法修改全局策略。

管理员特权可以针对全局或特定对象。全局特权控制整个系统的操作，例如查看和更改全局设置。特定于对象的特权则控制对特定对象类型的操作。

管理员角色通常具有执行较高级别管理任务所需的各种特权。Horizon Console 中包含的预定义角色具有执行常见管理任务所需的特权。您可以将这些预定义角色分配给管理员用户和组，也可以通过组合选定的特权来自行创建自定义角色。您无法修改预定义角色。

要创建管理员，可以从 Active Directory 用户和组中选择用户和组并分配管理员角色。如果角色包含特定于对象的特权，您可能需要将角色应用于访问组和/或联合访问组（仅限 Cloud Pod 架构 环境）。管理员通过其角色分配获取特权。您无法将特权直接分配给管理员。具有多个角色的管理员拥有这些角色中包含的所有特权。

有关配置联合访问组以委派全局授权管理权的信息，请参阅《Horizon 中的 Cloud Pod 架构》文档。