Nachdem Sie Ihren Identitätsanbieter konfiguriert haben, erstellen Sie zwei Domänendienst- und zwei Domänenbeitrittskonten auf Ihrem lokalen Active Directory. Später werden Sie die Horizon Universal Console verwenden, um die Details dieser Konten für Horizon Cloud bereitzustellen.

Für Horizon Cloud müssen Sie zwei Instanzen der folgenden AD-Konten angeben, die als Dienstkonten verwendet werden sollen.

  • Ein Domänendienstkonto, das zum Ausführen von Suchvorgängen in Ihrer Active Directory-Domäne verwendet wird.
  • Ein Domänenbeitrittskonto, das zum Beitreten von Computerkonten zur Domäne, zum Entfernen von Computerkonten aus der Domäne und zum Durchführen von Sysprep-Vorgängen verwendet wird
Wichtig:

Beachten Sie die folgenden Richtlinien für die Active Directory Konten, die Sie für diese Dienstkonten angeben.

  • Wenn sowohl das primäre Domänendienstkonto als auch das zusätzliche Domänendienstkonto ablaufen oder nicht mehr zugänglich sind, funktioniert Single Sign-On nicht mehr und Sie können keinen neuen Desktops beitreten. Wenn Sie für das primäre Domänendienstkonto und das zusätzliche Domänendienstkonto nicht Läuft nie ab festlegen, stellen Sie sicher, dass sie unterschiedliche Ablaufzeiten haben. Sie müssen dann auf die Ablaufzeit achten und die Daten Ihres Horizon Cloud-Domänendienstkontos aktualisieren, bevor die Ablaufzeit erreicht ist.
  • Wenn sowohl das primäre als auch das zusätzliche Domänenbeitrittskonto ablaufen oder nicht mehr zugänglich sind, funktioniert Single Sign-On nicht, und Sie können neuen Desktops nicht beitreten. Wenn Sie für das primäre und das zusätzliche Domänenbeitrittskonto die Option Läuft nie ab nicht festlegen, müssen Sie sicherstellen, dass sie unterschiedliche Ablaufzeiten haben. Sie müssen dann auf die Ablaufzeit achten und die Daten Ihres Horizon Cloud-Domänenbeitrittskontos aktualisieren, bevor die Ablaufzeit erreicht ist.

Domänendienstkonto – Erforderliche Active Directory-Berechtigungen

Das Domänendienstkonto muss über Leseberechtigungen verfügen, um die Active Directory-Konten für alle Active Directory-Organisationseinheiten (OEs) zu suchen, die Sie in den von Horizon Cloud bereitgestellten Desktop-as-a-Service-Vorgängen verwenden, z. B. das Zuweisen von Desktop-VMs zu Ihren Endbenutzern. Das Domänendienstkonto muss Objekte aus Ihrem Active Directory aufzählen können. Das Domänendienstkonto erfordert die folgenden Berechtigungen für alle OEs und Objekte, die Sie mit Horizon Cloud verwenden müssen:

  • Inhalt auflisten
  • Alle Eigenschaften lesen
  • Berechtigungen lesen
  • tokenGroupsGlobalAndUniversal lesen (implizit enthalten in der Berechtigung „Alle Eigenschaften lesen“)
Wichtig: Domänendienstkonten sollten die Standardberechtigung für den schreibgeschützten Lesezugriff erhalten, die in der Regel für Authentifizierte Benutzer in einer Microsoft Active Directory-Bereitstellung gewährt werden. In einer standardmäßigen Bereitstellung von Microsoft Active Directory werden diese Standardeinstellungen in der Regel für Authentifizierte Benutzer erteilt, wodurch ein standardmäßiges Domänenbenutzerkonto normalerweise die Möglichkeit erhält, die erforderliche Enumeration durchzuführen, die Horizon Cloud für das Domänendienstkonto benötigt. Wenn sich die AD-Administratoren Ihrer Organisation jedoch dafür entschieden haben, schreibgeschützte Berechtigungen für reguläre Benutzer zu sperren, müssen Sie diese AD-Administrator bitten, die Standardeinstellungen für Authentifizierte Benutzer für die Domänendienstkonten beizubehalten, die Sie für Horizon Cloud verwenden.

Domänenbeitrittskonto – Erforderliche Active Directory-Berechtigungen

Das Domänenbeitrittskonto wird auf Mandantenebene konfiguriert. Das System verwendet das gleiche Domänenbeitrittskonto, das in der Active Directory-Registrierung für alle zugehörigen Domänenbeitrittsvorgänge mit allen Pods in der Flotte Ihres Mandanten konfiguriert ist.

Das System führt explizite Berechtigungsprüfungen für das Domänenbeitrittskonto innerhalb der OE durch, die Sie im Workflow für die Active Directory-Registrierung (im Textfeld Standard-OE in diesem Workflow) sowie innerhalb der OEs festlegen, die Sie in den Farmen und in den von Ihnen erstellten VDI-Desktop-Zuweisungen angeben, wenn die Textfelder Computer-OE für Farm und VDI-Desktop-Zuweisung von der Standard-OE in der Active Directory-Registrierung abweichen.

Um auch die Fälle abzudecken, in denen Sie möglicherweise eine untergeordnete OE verwendet, empfiehlt es sich als Best Practice, diese erforderlichen Berechtigungen für alle nachfolgenden Objekte der Computer-OE festzulegen.

Wichtig:
  • Einige der in der Liste enthaltenen Active Directory-Berechtigungen werden Konten in der Regel von Active Directory standardmäßig zugewiesen. Wenn Sie jedoch in Ihrem Active Directory die Sicherheitsberechtigung eingeschränkt haben, müssen Sie sicherstellen, dass das Domänenbeitrittskonto diese Berechtigungen für OEs und Objekte besitzt, die Sie mit Horizon Cloud verwenden.
  • Wenn Sie in Microsoft Active Directory eine neue OE erstellen, legt das System möglicherweise automatisch das Attribut Prevent Accidental Deletion fest, das für die neu erstellte OE und alle abgeleiteten Objekte für die Berechtigung „Alle untergeordneten Objekte löschen“ Deny anwendet. Wenn Sie daher dem Domänenbeitrittskonto explizit die Berechtigung „Computerobjekte löschen“ zugewiesen haben, hat Active Directory im Fall einer neu erstellten OE möglicherweise eine Außerkraftsetzung auf die explizit zugewiesene Berechtigung „Computerobjekte löschen“ angewendet. Da durch das Löschen des Flags Versehentliches Löschen verhindern das von Active Directory auf die Berechtigung „Alle untergeordneten Objekte löschen“ angewendete Deny möglicherweise nicht automatisch gelöscht wird, müssen Sie im Fall einer neu hinzugefügten OE das für die Berechtigung zum Löschen aller untergeordneten Objekte in der OE und allen untergeordneten OEs festgelegte Deny möglicherweise prüfen und manuell löschen, bevor Sie das Domänenbeitrittskonto in der Horizon Universal Console verwenden.

Wiederverwenden von Computerkonten

Den Domänenbeitritts-Benutzerkonten muss die Erlaubnis erteilt werden, vorhandene Computerkonten wiederzuverwenden, indem Sie die folgenden Schritte ausführen:

  • Erstellen Sie eine neue universelle Sicherheitsgruppe.
  • Fügen Sie alle Domänenbeitritts-Benutzerkonten zur neuen Sicherheitsgruppe hinzu.
  • Aktivieren Sie für alle relevanten Gruppenrichtlinienobjekte Domänencontroller: Wiederverwendung des Computerkontos während des Domänenbeitritts zulassen.
  • Klicken Sie auf Sicherheit bearbeiten....
  • Klicken Sie im Dialogfeld Sicherheitseinstellungen für Besitzer vertrauenswürdiger Computerkonten auf Hinzufügen....
  • Wählen Sie die neue Sicherheitsgruppe aus und klicken Sie auf OK.

Führen Sie diese Schritte für jede Domäne aus.