Verwenden Sie die rollenbasierte Zugriffssteuerung von Horizon Cloud-Verwaltungskonsole, um festzustellen, welche Administratorrechte für welche Ihrer Active Directory-Benutzerkonten vergeben werden. Wenn Sie sich bei der Konsole anmelden, verwendet der zweite Anmeldebildschirm die Active Directory-Kontoanmeldedaten. Das System stellt Ihnen vordefinierte Rollen zur Verfügung, die Sie Ihren Active Directory-Gruppen zuordnen können.

Vorsicht: Beachten Sie, dass die Rolle „Superadministrator“ festlegt, welche Ihrer AD-Benutzerkonten sich bei Ihrem Horizon Cloud-Mandantenkonto anmelden und in der Konsole administrative Vorgänge durchführen können, zu denen auch die hier beschriebenen Schritte für das Zuweisen von Rollen zu Ihren AD-Gruppen gehören. Wenn Sie nur eine einzige AD-Gruppe haben, der die Rolle „Superadministrator“ zugewiesen ist, dürfen Sie die angegebene Administratorgruppe erst dann aus Ihrem Active Directory-System entfernen oder die in Ihrem Active Directory-System angezeigte GUID ändern, nachdem Sie eine weitere Administratorgruppe zur Superadministratorrolle hinzugefügt haben. Wenn Sie die Gruppe aus Ihrem Active Directory-System entfernen oder die in Ihrem Active Directory-System angezeigte GUID ändern, wird diese Änderung nicht an die Horizon Cloud-Steuerungsebene übermittelt und Horizon Cloud „weiß“ nicht länger, dass diese AD-Gruppe die Rolle „Superadministrator“ besitzt. Wenn es sich bei dieser Gruppe um die einzige Gruppe handelt, die Sie der Rolle „Superadministrator“ zugewiesen haben, kann sich möglicherweise keines der AD-Konten, das sich bislang mit der Zugriffsebene „Superadministrator“ anmelden konnte, mehr anmelden und administrative Vorgänge durchführen. Daher ist es auch nicht mehr möglich, die Rolle einer AD-Gruppe zuzuweisen, um erneut einen Satz AD-Konten mit Superadministratorzugriff einzurichten. Dem Domänendienstkonto wird immer die Rolle „Superadministrator“ zugewiesen. Wenn Sie Ihre einzige, der Superadministratorrolle zugewiesene AD-Gruppe entfernt haben und das Domänendienstkonto nicht in dieser Gruppe enthalten war, können Sie versuchen, sich mit den Anmeldedaten für das Domänendienstkonto bei der Konsole anzumelden und die Schritte zum Zuweisen der Superadministratorrolle zu einer neuen AD-Gruppe durchzuführen. Wenn Sie sich mit dem Domänendienstkonto jedoch nicht anmelden können, müssen Sie sich an den VMware Support wenden, der Sie beim Wiederherstellen des Administratorzugriffs auf Ihr Mandantenkonto unterstützt.

Diese Rollen und die damit verbundenen Rechte bestimmen, welche Verwaltungsaktionen ein Benutzer über die Verwaltungskonsole ausführen kann. Die Sichtbarkeit der Funktionen und Elemente der Konsole wird durch die dem Active Directory-Konto der Person zugewiesene Rolle gesteuert. Beispielsweise kann eine Person in einer Active Directory-Gruppe, der die Rolle Nur-Lese-Helpdesk-Administrator zugewiesen ist, zu den Benutzerkarten für Endbenutzer navigieren und die Informationen anzeigen, aber keine Vorgänge auf den Desktops durchführen. Eine Person in einer Active Directory-Gruppe, der die Rolle Helpdesk-Administrator zugewiesen ist, kann zu den Benutzerkarten navigieren und Fehlerbehebungen durchführen sowie die Informationen anzeigen. Sie müssen den entsprechenden Active Directory-Gruppen Ihrer Organisation eine Rolle zuweisen, damit sich die Benutzer dieser Gruppe mit dem Standard-Workflow für die Anmeldung anmelden und auf Verwaltungsfunktionen zugreifen können.

Wichtig: Diese Horizon Cloud-Rollen können nur Gruppen zugeordnet werden. Das System bietet Ihnen keine Möglichkeit, einzelne Active Directory-Benutzerkonten für jede Rolle auszuwählen.
  • Es ist wichtig, diesen Punkt zu verstehen, wenn es um das Domänenbeitrittskonto geht, wenn sich Ihre Cloud-verbundenen Pods in Microsoft Azure befinden. Wenn sich das Domänenbeitrittskonto, das Sie für Ihren ersten Pod in Microsoft Azure registriert haben, nicht bereits in einer Ihrer Active Directory-Gruppen befindet, erstellen Sie eine Active Directory-Gruppe für dieses Konto, damit Sie sicherstellen können, dass die Rolle des Superadministrators diesem Domänenbeitrittskonto zugewiesen werden kann. Das Domänenbeitrittskonto benötigt die Rolle des Superadministrators, damit die Systemvorgänge, die einen Beitritt von virtuellen Maschinen bei der Domäne umfassen, ordnungsgemäß für Pods in Microsoft Azure funktionieren. Weitere Einzelheiten dazu finden Sie unter Dienstkonten, für deren Betrieb Horizon Cloud benötigt wird.
  • Die Tatsache, dass die Rollen nur Gruppen, aber keinen einzelnen Konten zugewiesen können, bedeutet auch, dass Sie es vermeiden müssen, derselben Active Directory-Domänengruppe zwei Rollen zuzuweisen. Mit der Rolle „Superadministrator“ werden alle Berechtigungen zur Durchführung aller Verwaltungsaufgaben in der Konsole erteilt. Dagegen verfügt die Rolle „Demo-Administrator“ über keine Schreibrechte. Wenn Sie diese beiden Rollen derselben Active Directory-Gruppe zuweisen, werden die Berechtigungen der Rolle „Superadministrator“ nicht auf alle Benutzer in dieser Gruppe übertragen. Ihre Aktionen werden dann in der Konsole eingeschränkt, sodass Sie für Ihre Umgebung möglicherweise nicht alle Verwaltungsaufgaben durchführen können.

Die folgenden vordefinierten Rollen werden standardmäßig ausgeliefert. Die vordefinierten Rollen können nicht geändert werden.

Tabelle 1. Horizon Cloud-Gruppen für eine rollenbasierte Zugriffssteuerung
Rolle Beschreibung
Superadministrator Eine obligatorische Rolle, die Sie mindestens einer Gruppe in Ihrer Active Directory-Domäne zuweisen müssen (optional auch anderen Gruppen). Diese Rolle umfasst alle Berechtigungen für Verwaltungsaufgaben in der Konsole.
Wichtig: Stellen Sie sicher, dass das Domänenbeitrittskonto, das Sie bei der Registrierung der Active Directory-Domäne beim ersten Pod angegeben haben, in einer der Gruppen mit der Rolle „Superadministrator“ liegt. Für den End-to-End-Erfolg von Vorgängen mit Images und Domänenbeitritt muss diesem Domänenbeitrittskonto diese Superadministrator-Rolle zugewiesen werden.

Primären Domänendienstkonten und Hilfsdomänendienstkonten wird immer die Rolle „Superadministrator“ zugewiesen, mit der alle Berechtigungen zum Durchführen von Verwaltungsaktionen in der Konsole erteilt werden. Sie sollten sicherstellen, dass Benutzer ohne die Berechtigung „Superadministrator“ nicht auf die festgelegten Domänendienstkonten zugreifen können.

Helpdesk-Administrator Eine Rolle, die Sie optional einer oder mehreren Gruppen zuordnen können. Zweck dieser Rolle ist es, den Zugriff auf die Konsole zu ermöglichen, damit Ihre Active Directory-Gruppen mit dieser Rolle mit den Funktionen der Benutzerkarte arbeiten können:
  • Status der Endbenutzersitzungen anzeigen
  • Fehlerbehebungsvorgänge an den Sitzungen durchführen
Nur-Lese-Helpdesk-Administrator Eine Rolle, die Sie optional einer von mehreren Gruppen zuordnen können. Zweck dieser Rolle ist es, den Zugriff auf die Konsole zu ermöglichen, sodass Ihre Active Directory-Gruppen mit dieser Rolle mit den Funktionen der Benutzerkarte arbeiten können, um den Status der Endbenutzer-Sitzungen anzuzeigen.
Demo-Administrator Eine Rolle ohne Schreibberechtigung, die Sie einer oder mehreren Gruppen zuweisen können. Demo-Administratoren können die Einstellungen anzeigen und Optionen auswählen, um zusätzliche Optionen in der Konsole anzuzeigen. Die Konfigurationseinstellungen können jedoch nicht geändert werden.

Voraussetzungen

Vorsicht: Bevor Sie Ihren bestehenden Active Directory-Gruppen Rollen zuweisen, überprüfen Sie die Benutzerkontozugehörigkeit in den Active Directory-Gruppen, um sicherzustellen, dass ein Benutzerkonto nur eine dieser Horizon Cloud-Rollen erhält. Erstellen Sie bei Bedarf spezifische Active Directory-Gruppen. Da diese Rollen auf der Ebene der Active Directory-Gruppe zugewiesen werden, können unerwartete Ergebnisse auftreten, wenn das Active Directory-Konto eines Benutzers zu zwei Active Directory-Gruppen gehört und jeder Gruppe eine andere Rolle zugewiesen wird. Die Funktionen der Konsole sind in dieser Reihenfolge sichtbar:
  1. Superadministrator
  2. Helpdesk-Administrator
  3. Demo-Administrator
  4. Nur-Lese-Helpdesk-Administrator

Wenn das Active Directory-Konto eines Benutzers zu den beiden Active Directory-Gruppen ADGroup1 und ADGroup2 gehört und Sie ADGroup1 die Rolle Superadministrator und ADGroup2 die Rolle Nur-Lese-Helpdesk-Administrator zuweisen, zeigt die Konsole alle Funktionen gemäß der Rolle Superadministrator anstelle der Teilmenge der Funktionen für die andere Rolle an, da die Rolle Superadministrator Vorrang hat.

Prozedur

  1. Navigieren Sie in der Konsole zu Einstellungen > Rollen und Berechtigungen.
  2. Wählen Sie eine der vordefinierten Rollen aus und klicken Sie auf Bearbeiten.
  3. Verwenden Sie das Suchfeld, um eine Active Directory-Gruppe zu suchen und auszuwählen.
    Sie müssen mindestens drei Zeichen in das Suchfeld eingeben, damit die Ergebnisse angezeigt werden.
    Die Gruppe wird dem Satz ausgewählter Gruppen hinzugefügt.
  4. Klicken Sie auf Speichern.

Nächste Maßnahme

Wenn Sie denselben Benutzern Zugriff auf die Anmeldung bei der Verwaltungskonsole gewähren möchten, fügen Sie ihre My VMware-Konten über die Seite „Allgemeine Einstellungen“ hinzu. Weitere Informationen finden Sie unter Hinzufügen von Administratoren zur Anmeldung bei Ihrer Horizon Cloud-Mandantenumgebung.

Der erste Anmeldebildschirm der Konsole verwendet My VMware-Konten, die über die Seite „Allgemeine Einstellungen“ mit den Horizon Cloud-Rollen verknüpft sind. Der zweite Anmeldebildschirm verwendet Active Directory-Anmeldeinformationen, die mit den Horizon Cloud-Rollen über diese Seite „Rollen und Berechtigungen“ verknüpft sind.