Wenn Benutzer mit Horizon Client für Windows im Menü Optionen Als aktueller Benutzer anmelden aktivieren, werden die Anmeldeinformationen, die sie bei der Anmeldung am Clientsystem angegeben haben, für die Authentifizierung an der Horizon-Verbindungsserver-Instanz und am Remote-Desktop mit Kerberos verwendet. Es ist keine weitere Benutzerauthentifizierung erforderlich.

Zur Unterstützung dieser Funktion werden Benutzeranmeldedaten sowohl in der Verbindungsserver-Instanz als auch auf dem Clientsystem gespeichert.

  • Auf der Verbindungsserver-Instanz werden Anmeldedaten verschlüsselt und in der Benutzersitzung zusammen mit dem Benutzernamen, der Domäne und dem optionalen UPN gespeichert. Die Anmeldeinformationen werden hinzugefügt, wenn eine Authentifizierung erfolgt, und gelöscht, wenn das Sitzungsobjekt zerstört wird. Das Sitzungsobjekt wird zerstört, wenn sich der Benutzer abmeldet, das Zeitlimit der Sitzung überschritten wird oder die Authentifizierung fehlschlägt. Das Sitzungsobjekt befindet sich im flüchtigen Speicher und wird nicht in Horizon LDAP oder in einer Datei auf der Festplatte gespeichert.
  • Aktivieren Sie in der Verbindungsserver-Instanz die Einstellung Anmeldung als aktueller Benutzer zulassen, damit die Verbindungsserver-Instanz die Anmeldedaten akzeptieren kann, die übergeben werden, wenn Benutzer Als aktueller Benutzer anmelden im Menü Optionen in Horizon Client aktiviert haben.
    Wichtig: Bevor Sie diese Einstellung aktivieren, müssen Sie sich mit den Sicherheitsrisiken vertraut machen. Einzelheiten finden Sie im Beitrag zu den sicherheitsrelevanten Servereinstellungen für die Benutzerauthentifizierung im Dokument Horizon 7-Sicherheit.
  • Auf dem Clientsystem werden die Anmeldedaten der Benutzer verschlüsselt in einer Tabelle im Authentication Package, einer Komponente von Horizon Client, gespeichert. Die Anmeldeinformationen werden der Tabelle hinzugefügt, wenn sich der Benutzer anmeldet, und aus der Tabelle entfernt, wenn er sich abmeldet. Die Tabelle verbleibt im flüchtigen Speicher.
Wenn Sie Anmeldung als aktueller Benutzer akzeptieren auswählen, können Sie die folgenden Benutzereinstellungen aktivieren:
  • Vorgängermandanten erlauben: Support für ältere Clients. DieHorizon Client-Versionen 2006 und 5.4 sowie frühere Versionen werden als ältere Clients betrachtet.
  • NTLM-Fallback erlauben: NTLM Fallback ermöglichen: Verwendet die NTLM-Authentifizierung anstelle von Kerberos, falls kein Zugriff auf den Domänencontroller besteht. Die Gruppenrichtlinieneinstellungen für NTLM müssen in der Horizon Client-Konfiguration aktiviert sein.
  • Kanalbindungen deaktivieren: Eine zusätzliche Sicherheitsschicht zur sicheren NTLM-Authentifizierung. Kanalbindungen sind standardmäßig auf dem Client aktiviert.
  • True SSO-Integration: Aktivieren Sie diese Einstellung auf dem Verbindungsserver, um SSO mit True SSO auf dem Desktop zuzulassen. In einem geschachtelten Modus wird True SSO beispielsweise verwendet, um sich bei einem geschachtelten Client anzumelden, und dann wird eine sekundäre Desktopanmeldung ausgeführt. Informationen zum geschachtelten Modus finden Sie unter VMware Horizon Client für Windows Installations- und Einrichtungshandbuch.
    • Deaktiviert: Der Benutzer muss Anmeldeinformationen eingeben, wenn der Client keine Anmeldeinformationen erhalten hat.
    • Optional: Es werden die Anmeldeinformationen für den Client werden verwendet, falls verfügbar, andernfalls wird True SSO verwendet. Dies ist die empfohlene Einstellung, wenn True SSO und „Als aktueller Benutzer anmelden“ aktiviert sind.
    • Aktiviert: True SSO wird zum Anmelden am Desktop verwendet.

Mit Horizon Client-Gruppenrichtlinieneinstellungen können Administratoren die Verfügbarkeit der Einstellung Als aktueller Benutzer anmelden im Menü Optionen steuern und die Standardeinstellung festlegen. Außerdem können Administratoren mithilfe einer Gruppenrichtlinie festlegen, welche Verbindungsserver-Instanzen die Benutzeridentitäts- und Anmeldedaten akzeptieren, die übergeben werden, wenn Benutzer Als aktueller Benutzer anmelden in Horizon Client aktivieren.

Die Funktion „Rekursives Entsperren“ wird aktiviert, sobald sich ein Benutzer beim Verbindungsserver mit der Funktion „Als aktueller Benutzer anmelden“ anmeldet. Die Funktion der rekursiven Entsperrung entsperrt alle Remotesitzungen, wenn der Clientcomputer entsperrt wird. Administratoren können die Funktion „Rekursives Entsperren“ mit der globalen Richtlinieneinstellung Remotesitzungen entsperren, wenn der Clientcomputer entsperrt wird in Horizon Client steuern. Weitere Informationen zu globalen Richtlinieneinstellungen für Horizon Client finden Sie in der Horizon Client-Dokumentation auf der Webseite VMware Horizon Clients-Dokumentation.
Hinweis: Die Funktion der rekursiven Entsperrung kann langsam sein, wenn Sie „Als aktueller Benutzer anmelden“ für die NTLM-Authentifizierung verwenden, falls Horizon Client nicht auf die Domänencontroller zugreifen kann. Um dieses Problem zu beheben, aktivieren Sie die Gruppenrichtlinieneinstellung NTLM immer für Server verwenden im Ordner VMware Horizon Client-Konfiguration > Sicherheitseinstellungen > NTLM-Einstellungen im Gruppenrichtlinienverwaltungs-Editor.

Für die Funktion „Als aktueller Benutzer anmelden“ gelten folgende Einschränkungen und Anforderungen:

  • Wenn die Smartcard-Authentifizierung auf einer Verbindungsserver-Instanz erforderlich ist, schlägt die Authentifizierung bei Benutzern fehl, die Als aktueller Benutzer anmelden aktivieren, wenn sie eine Verbindung zur Verbindungsserver-Instanz herstellen. Diese Benutzer müssen sich bei der Anmeldung beim Verbindungsserver erneut mit ihrer Smartcard und ihrer PIN authentifizieren.
  • Die Uhrzeit auf dem System, an dem sich der Client anmeldet, und die Uhrzeit auf dem Verbindungsserver-Host müssen synchronisiert werden.
  • Wenn die standardmäßige Zuweisung des Benutzerrechts Auf diesen Computer vom Netzwerk aus zugreifen auf dem Clientsystem geändert wird, muss die Änderung gemäß Beschreibung in VMware-Knowledgebase (KB)-Artikel 1025691 erfolgen.