Bei der Authentifizierung bei der cloudbasierten Verwaltungskonsole gibt die Einzelperson aus Ihrem Unternehmen nach der Authentifizierung im ersten Anmeldebildschirm ihre Active Directory-Benutzerkontodaten im zweiten Anmeldebildschirm ein, entsprechend der Active Directory-Domäne, die Sie in der Umgebung registriert haben. Das System stellt vordefinierte Rollen bereit, die Sie Ihren verschiedenen Active Directory-Gruppen zuweisen können. Diese domänenbezogenen Rollen von Active Directory regeln, welche Bereiche der Konsole sichtbar und aktiviert bzw. sichtbar und deaktiviert sind, wenn die angemeldete Person durch die Konsole navigiert. Sie müssen den entsprechenden Active Directory-Gruppen Ihrer Organisation eine Rolle zuweisen, damit die Benutzer in dieser Gruppe die Konsole verwenden können, um die für sie vorgesehenen Arbeitsaktivitäten auszuführen.
- Ob die Funktion vom Systemcode abhängt, der nur im aktuellen First-Gen-Horizon Cloud-Podmanifest, in der Horizon Pod-Version oder in der Horizon Cloud Connector-Version verfügbar ist.
- Ob der Zugriff auf die Funktion in begrenzter Verfügbarkeit möglich ist, wie in den Versionshinweisen bei der Einführung der Funktion angegeben.
- Ob die Funktion bestimmte Lizenzen oder SKUs erfordert.
Wenn eine Funktion in dieser Dokumentation erwähnt wird und diese Funktion in der First-Gen-Konsole nicht angezeigt wird, überprüfen Sie zuerst in den Versionshinweisen, ob der Zugriff auf die Funktion eingeschränkt ist und wie Sie die Aktivierung in Ihrem Mandanten anfordern können. Wenn Sie der Meinung sind, dass Sie berechtigt sind, eine in dieser Dokumentation beschriebene Funktion zu verwenden, und diese nicht in der Konsole angezeigt wird, können Sie alternativ Ihren VMware Horizon Cloud Service-Vertreter fragen oder, wenn Sie keinen Vertreter haben, eine Service-Anfrage (Service Request, SR) an das Horizon Cloud Service-Team stellen, wie in Support-Anfrage in Customer Connect (VMware KB 2006985) beschrieben.
Die Rolle, die Sie mithilfe der hier beschriebenen Schritte zuweisen, ist eine der beiden Rollentypen, anhand derer die Konsole bestimmt, was in der authentifizierten Sitzung einer Person in der Konsole angezeigt werden kann und welche Aktionen sie für die angezeigten Inhalte in der Konsole ausführen kann.
Im Workflow zur Standardanmeldung werden im ersten Anmeldebildschirm der Konsole VMware Customer Connect-Konten verwendet, die auf der Seite „Allgemeine Einstellungen“ den Rollen zugewiesen werden. Diese Konten wurden in der Vergangenheit als My VMware-Konten bezeichnet.
Der zweite Anmeldebildschirm verwendet AD-Anmeldeinformationen (Active Directory), die über die Seite „Rollen und Berechtigungen“ mit Rollen verknüpft werden. Diese AD domänenbezogenen Rollen bestimmen die Sichtbarkeit der Konsolenfunktionen und ‑elemente. Diese Rolle bestimmt auch, welche Benutzeroberflächenelemente möglicherweise als deaktiviert angezeigt werden, wenn die Person durch die Konsole navigiert.
Beispielsweise kann eine Person in einer AD-Gruppe, der die Rolle Zuweisungsadministrator zugewiesen ist, Vorgänge im Zusammenhang mit der Verwaltung von Endbenutzerzuweisungen und Farmen durchführen, aber keine anderen Vorgänge ausführen. Eine Person in einer AD-Gruppe mit der Rolle Nur-Lese-Helpdesk-Administrator kann zu den Benutzerkarten für Endbenutzer navigieren und die Informationen anzeigen, aber keine Fehlerbehebungsvorgänge für Benutzersitzungen durchführen. Auf der anderen Seite kann eine Person in einer AD-Gruppe mit der Rolle Helpdesk-Administrator zu Benutzerkarten navigieren und Informationen anzeigen sowie Fehlerbehebungsvorgänge für Benutzersitzungen durchführen. Für die Rolle Helpdesk-Administrator können Sie auch den Umfang der Fehlerbehebungsvorgänge einschränken, die eine AD-Gruppe durchführen kann.
Diese domänenbezogenen Rollen von AD arbeiten in Kombination mit den Rollen der VMware Customer Connect-Konten, die die Personen in Ihrer Organisation zum Anmelden mit dem Standard-Anmeldungsworkflow verwenden. Aus diesem Grund müssen Sie sicherstellen, dass die Gesamtkombination der beiden Rollen auch dann weiterhin die gewünschten Ergebnisse für eine Einzelperson widerspiegelt, wenn die Einzelperson verschiedene Aufgabenpositionen übernimmt und mehreren AD-Gruppen in Ihrer Organisation angehört. Einzelheiten zu den beiden Rollentypen und den Best Practice-Kombinationen der Rollenzuweisungen finden Sie unter Best Practices bezüglich der beiden Rollentypen, die Sie für die Verwendung vonHorizon Universal Console in Ihrer Horizon Cloud-Umgebung zuweisen.
Die Tatsache, dass die Rollen nur Gruppen, aber keinen einzelnen Konten zugewiesen können, bedeutet auch, dass Sie es vermeiden müssen, derselben AD-Domänengruppe zwei Rollen zuzuweisen. Mit der Rolle „Superadministrator“ werden alle Berechtigungen zur Durchführung aller Verwaltungsaufgaben in der Konsole erteilt. Dagegen verfügt die Rolle „Demo-Administrator“ über keine Schreibrechte. Wenn Sie diese beiden Rollen derselben AD-Gruppe zuweisen, werden die Berechtigungen der Rolle „Superadministrator“ nicht auf alle Benutzer in dieser Gruppe übertragen. Ihre Aktionen werden dann in der Konsole eingeschränkt, sodass Sie für Ihre Umgebung möglicherweise nicht alle Verwaltungsaufgaben durchführen können.
Die folgenden vordefinierten Rollen werden standardmäßig ausgeliefert. Die vordefinierten Rollen können nicht geändert werden.
Rolle | Beschreibung |
---|---|
Superadministrator | Eine obligatorische Rolle, die Sie mindestens einer Gruppe in Ihrer AD-Domäne und optional anderen Gruppen zuweisen müssen. Diese Rolle gewährt alle Berechtigungen für den Zugriff auf alle Bereiche der Konsole und für die Ausführung von Verwaltungsaktionen in der Konsole. Primären Domänendienstkonten und Hilfsdomänendienstkonten wird immer die Rolle „Superadministrator“ zugewiesen, mit der alle Berechtigungen zum Durchführen von Verwaltungsaktionen in der Konsole erteilt werden. Sie sollten sicherstellen, dass Benutzer ohne die Berechtigung „Superadministrator“ nicht auf die festgelegten Domänendienstkonten zugreifen können.
Hinweis: Wenn Ihre Pod-Flotte Pods enthält, auf denen Manifeste vor 1600.0 ausgeführt werden, müssen Sie sicherstellen, dass das Domänenbeitrittskonto eine der Gruppen darstellt, denen Sie die Rolle „Superadministrator“ gewährt haben. Weitere Informationen finden Sie unter
Dienstkonten, die Horizon Cloud für seine Vorgänge benötigt.
|
Zuweisungsadministrator | Wenn Ihre Mandantenumgebung für diese Funktion aktiviert ist, können Sie diese Rolle optional einer oder mehreren Gruppen zuweisen. AD-Gruppen mit dieser Rolle haben Zugriff auf die Konsole zum Erstellen, Ändern und Löschen von Endbenutzerzuweisungen und Farmen. Gruppen mit dieser Rolle können auch Vorgänge im Zusammenhang mit der Verwaltung von Zuweisungen und Farmen durchführen, z. B. VM-Konfiguration, Energieverwaltung und Konfiguration von Remoteanwendungen. |
Helpdesk-Administrator | Eine Rolle, die Sie optional einer oder mehreren Gruppen zuordnen können. Der Zweck dieser Rolle ist es, den Zugriff auf die Konsole zu ermöglichen, damit Ihre AD-Gruppen mit dieser Rolle mit den folgenden Funktionen der Benutzerkarte arbeiten können:
Standardmäßig verfügen AD-Gruppen mit dieser Rolle über die Berechtigung, Fehlerbehebungsvorgänge für Sitzungen durchzuführen, die mit einer Zuweisung oder Farm in der Konsole verknüpft sind. Wenn Ihre Mandantenumgebung für diese Funktion aktiviert ist, können Sie optional auch die Berechtigungen für eine Gruppe ändern, um den Umfang der Fehlerbehebungsvorgänge dieser Gruppe auf die Sitzungen zu beschränken, die bestimmten Zuweisungen und Farmen zugeordnet sind. Um den Berechtigungsbereich einer Gruppe zu ändern, klicken Sie auf das Bearbeitungssymbol für diese Gruppe.
Hinweis: Wenn Sie eine Zuweisung oder Farm in den Berechtigungsbereich einer AD-Gruppe aufnehmen und später versuchen, diese Zuweisung oder Farm zu löschen, wird sie sofort aus dem Berechtigungsbereich der Gruppe entfernt. Wenn der Löschvorgang fehlschlägt und die Zuweisung oder Farm noch vorhanden ist, müssen Sie sie manuell wieder zum Berechtigungsbereich hinzufügen, um den Zugriff der Gruppe darauf zu erhalten.
|
Nur-Lese-Helpdesk-Administrator | Eine Rolle, die Sie optional einer von mehreren Gruppen zuordnen können. Zweck dieser Rolle ist es, den Zugriff auf die Konsole zu ermöglichen, sodass Ihre AD-Gruppen mit dieser Rolle mit den Funktionen der Benutzerkarte arbeiten können, um den Status der Endbenutzer-Sitzungen anzuzeigen. |
Demo-Administrator | Eine Rolle, die Sie optional einer oder mehreren Gruppen zuordnen können. In Kombination mit der Rolle „Kundenadministrator schreibgeschützt“ für das VMware Customer Connect-Konto können die Benutzer in dieser Gruppe die Einstellungen anzeigen und Optionen auswählen, um zusätzliche Optionen in der Konsole anzuzeigen. Die ausgewählten Einstellungen bewirken jedoch keine Änderung der Konfigurationseinstellungen. |
Voraussetzungen
- Bevor Sie Ihren bestehenden Active Directory-Gruppen Rollen zuweisen, überprüfen Sie die Benutzerkontozugehörigkeit in den Active Directory-Gruppen, um sicherzustellen, dass ein Benutzerkonto nur eine dieser Horizon Cloud-Rollen erhält. Erstellen Sie bei Bedarf spezifische Active Directory-Gruppen. Da diese Rollen auf der Ebene der Active Directory-Gruppe zugewiesen werden, können unerwartete Ergebnisse auftreten, wenn das Active Directory-Konto eines Benutzers zu zwei Active Directory-Gruppen gehört und jeder Gruppe eine andere Rolle zugewiesen wird. Die Funktionen der Konsole sind in dieser Reihenfolge sichtbar:
- Superadministrator
- Zuweisungsadministrator
- Helpdesk-Administrator
- Demo-Administrator
- Nur-Lese-Helpdesk-Administrator
Wenn das Active Directory-Konto eines Benutzers zu den beiden Active Directory-Gruppen ADGroup1 und ADGroup2 gehört und Sie ADGroup1 die Rolle Superadministrator und ADGroup2 die Rolle Nur-Lese-Helpdesk-Administrator zuweisen, zeigt die Konsole alle Funktionen gemäß der Rolle Superadministrator anstelle der Teilmenge der Funktionen für die andere Rolle an, da die Rolle Superadministrator Vorrang hat.
- Überprüfen Sie außerdem die Rollen, die den VMware Customer Connect-Konten der Gruppenmitglieder zugewiesen sind, um sicherzustellen, dass diese Rollen auf die Rolle ausgerichtet sind, die Sie ihrer Active Directory-Gruppe zuweisen. Befolgen Sie die unter Best Practices bezüglich der beiden Rollentypen, die Sie für die Verwendung vonHorizon Universal Console in Ihrer Horizon Cloud-Umgebung zuweisen beschriebenen Best Practice-Kombinationen.
Prozedur
Nächste Maßnahme
Stellen Sie sicher, dass die Benutzer in der Domänengruppe über die entsprechenden Rollen für ihre VMware Customer Connect-Konten verfügen. Siehe Best Practices bezüglich der beiden Rollentypen, die Sie für die Verwendung vonHorizon Universal Console in Ihrer Horizon Cloud-Umgebung zuweisen und Erteilen von Administratorrollen für Einzelpersonen in Ihrer Organisation zum Anmelden bei und Ausführen von Aktionen in Ihrer Horizon Cloud-Mandantenumgebung mit der Horizon Universal Console.