Mithilfe der Einschränkungsfunktion für Berechtigungen können Sie den Zugriff auf Remote-Desktops basierend auf der Horizon-Verbindungsserver-Instanz einschränken, mit der sich ein Benutzer verbindet.
Für die Einschränkung von Berechtigungen weisen Sie einer Verbindungsserver-Instanz ein oder mehrere Kennzeichen zu. Wenn Sie anschließend einen Desktop-Pool konfigurieren, wählen Sie die Kennzeichen der Verbindungsserver-Instanzen aus, die auf den Desktop-Pool zugreifen sollen. Wenn Benutzer sich über eine Verbindungsserver-Instanz mit Kennzeichen anmelden, können sie nur auf die Desktop-Pools zugreifen, die mindestens ein übereinstimmendes Kennzeichen oder keine Kennzeichen aufweisen.
Angenommen, Ihre Horizon 7-Bereitstellung umfasst zwei Verbindungsserver-Instanzen. Die erste Instanz unterstützt Ihre internen Benutzer. Die zweite Instanz bildet ein Paar mit einem Sicherheitsserver und unterstützt Ihre externen Benutzer. Um externe Benutzer am Zugriff auf bestimmte Desktops zu hindern, können Sie eingeschränkte Berechtigungen wie folgt einrichten:
- Weisen Sie das Kennzeichen „Intern“ der Verbindungsserver-Instanz zu, die den internen Benutzer unterstützt.
- Weisen Sie das Kennzeichen „Extern“ der Verbindungsserver-Instanz zu, die mit dem Sicherheitsserver gekoppelt wird und die Ihre externen Benutzer unterstützt.
- Weisen Sie das Kennzeichen „Intern“ den Desktop-Pools zu, auf die nur interne Benutzer zugreifen dürfen.
- Weisen Sie das Kennzeichen „Extern“ den Desktop-Pools zu, auf die nur externe Benutzer zugreifen dürfen.
Externen Benutzern werden keine als „Intern“ gekennzeichneten Desktop-Pools angezeigt, da sie sich über die als „Extern“ gekennzeichneten Verbindungsserver-Instanz anmelden. Ebenso können interne Benutzer keine als „Extern“ gekennzeichneten Desktop-Pools sehen, da sie sich über die als „Intern“ gekennzeichneten Verbindungsserver-Instanz anmelden. Beispiel für eingeschränkte Berechtigungen veranschaulicht diese Konfiguration.
Außerdem können Sie mithilfe eingeschränkter Berechtigungen den Desktop-Zugriff auf der Basis der Benutzerauthentifizierungsmethode steuern, die Sie für eine bestimmte Verbindungsserver-Instanz konfigurieren. Sie können beispielsweise bestimmte Desktop-Pools nur Benutzern zur Verfügung stellen, die sich mit einer Smartcard authentifiziert haben.
Die Einschränkungsfunktion für Berechtigungen erzwingt nur die Übereinstimmung mit Kennzeichen. Sie müssen Ihre Netzwerktopologie ändern, um bestimmte Clients zu zwingen, sich über eine bestimmte Verbindungsserver-Instanz anzumelden.