默认情况下,自动桌面池、手动桌面池和场在根访问组中创建,在 Horizon Console中显示为 / 或 Root(/)。已发布的桌面池和应用程序池将继承其场的访问组。您可以在根访问组下创建访问组,然后将特定池或场的管理权委派给不同的管理员。
注: 您无法直接更改已发布桌面池或应用程序池的访问组。您必须更改已发布桌面池或应用程序池所属的场的访问组。
虚拟机或物理机从其桌面池继承访问组。连接的永久磁盘从其计算机继承访问组。包括根访问组在内,最多可以有 100 个访问组。
通过在访问组上为管理员分配角色,就可以为管理员配置对该访问组中资源的访问权限。管理员只能访问为其分配了相应角色的访问组中的资源。管理员在访问组上的角色决定了其对该访问组中资源所具有的访问权限级别。
由于角色可从根访问组继承而来,因此在根访问组上具有某个角色的管理员在所有访问组上都具有该角色。在根访问组上具有管理员角色的管理员是超级管理员,因为他们对系统中的所有对象具有完全访问权限。
角色必须包含至少一个特定于对象的特权才能应用于访问组。只包含全局特权的角色不能应用于访问组。
您可以使用 Horizon Console创建访问组,并将现有桌面池移到访问组中。创建自动桌面池、手动池或场时,您可以接受默认根访问组,也可以选择其他访问组。
在 Cloud Pod 架构环境中,您可以配置联合访问组以委派全局授权的管理权。有关信息,请参阅《Horizon 8 中的 Cloud Pod 架构》文档。