Sie müssen jeden Verbindungsserver-Host zu einer Active Directory-Domäne hinzufügen. Bei dem Host darf es sich nicht um einen Domänencontroller handeln.
Active Directory verwaltet auch die Horizon Agent-Computer, inklusive Einzelbenutzercomputer und RDS-Hosts, sowie die Benutzer und Gruppen in Ihrer Horizon 7-Bereitstellung. Sie können Benutzern und Gruppen Berechtigungen für Remote-Desktops und -anwendungen erteilen und Sie haben die Möglichkeit, Benutzer und Gruppen in Horizon Administrator als Administratoren auszuwählen.
Horizon Agent-Computer, View Composer-Server und Benutzer sowie Gruppen lassen sich in den folgenden Active Directory-Domänen platzieren:
- Die Verbindungsserver-Domäne
- Eine unterschiedliche Domäne mit einer Zwei-Wege-Vertrauensbeziehung mit der Domäne des Verbindungsservers
- Eine Domäne in einer anderen Gesamtstruktur als die Domäne des Verbindungsservers, die von der Domäne des Verbindungsservers in einer externen Ein-Weg- oder Bereichs-Vertrauensbeziehung als vertrauenswürdig eingestuft wird.
- Eine Domäne in einer anderen Gesamtstruktur als die Domäne des Verbindungsservers, die von der Domäne des Verbindungsservers in einer transitiven Ein-Weg- oder Zwei-Wege-Gesamtstruktur-Vertrauensbeziehung als vertrauenswürdig eingestuft wird.
Benutzer werden mithilfe von Active Directory für die Domäne des Verbindungsservers und eine beliebige Anzahl zusätzlicher Benutzerdomänen authentifiziert, mit denen eine Vertrauensstellung besteht.
Wenn Ihre Benutzer und Gruppen sich in Domänen mit einer Ein-Weg-Vertrauensstellung befinden, müssen Sie in Horizon Administrator sekundäre Anmeldedaten für die Administrationsbenutzer zur Verfügung stellen. Administratoren müssen für den Zugriff auf Domänen mit einer Ein-Weg-Vertrauensstellung über sekundäre Anmeldeinformationen verfügen. Bei Domänen mit einer Ein-Weg-Vertrauensstellung kann es sich um eine externe Domäne oder um eine Domäne in einer transitiven Gesamtstruktur-Vertrauensstellung handeln.
Sekundäre Anmeldedaten sind nur für Horizon Administrator-Sitzungen erforderlich und nicht für Desktop- und Anwendungssitzungen von Endbenutzern. Nur Administrationsbenutzer benötigen sekundäre Anmeldeinformationen.
Sie können die sekundären Anmeldeinformationen mithilfe des Befehls vdmadmin -T zur Verfügung stellen.
- Sekundäre Anmeldeinformationen werden für einzelne Administrationsbenutzer konfiguriert.
- Für eine Gesamtstruktur-Vertrauensstellung können Sie sekundäre Anmeldeinformationen für die Gesamtstruktur-Stammdomäne konfigurieren. Der Verbindungsserver hat dann die Möglichkeit, die untergeordneten Domänen in der Gesamtstruktur-Vertrauensstellung einzeln zu benennen.
Weitere Informationen finden Sie unter „Bereitstellen sekundärer Anmeldeinformationen mithilfe der -T-Option“ im Dokument Horizon 7-Verwaltung.
Die Smartcard- und SAML-Authentifizierung von Benutzern wird in Domänen mit einer Ein-Weg-Vertrauensstellung nicht unterstützt.
Der nicht authentifizierte Zugriff wird in einer Umgebung mit einer unidirektionalen Vertrauensstellung nicht unterstützt, wenn ein Benutzer aus einer vertrauenswürdigen-Domänen authentifiziert wird. Es gibt beispielsweise zwei Domänen, Domäne A und Domäne B, wobei Domäne B eine unidirektionale ausgehende Vertrauensstellung für die Domäne A aufweist. Wenn Sie den nicht authentifizierten Zugriff auf dem Verbindungsserver in Domäne B aktivieren und einen Benutzer für nicht authentifizierten Zugriff aus einer Benutzerliste in Domäne A hinzufügen und dann dem nicht authentifizierten Benutzer die Berechtigung für einen veröffentlichten Desktop- oder Anwendungspool erteilen, kann sich der Benutzer nicht über Horizon Client als Benutzer für nicht authentifizierten Zugriff anmelden.
Ab Horizon 7 Version 7.10 wird die Funktion „Als aktueller Benutzer anmelden“ in Horizon Client für Windows in unidirektionalen vertrauenswürdigen Domänen unterstützt.