Beim Authentifizieren bei der cloudbasierten Verwaltungskonsole gibt die Einzelperson aus Ihrer Organisation nach der Authentifizierung für den ersten Anmeldebildschirm mit einem My VMware im zweiten Anmeldebildschirm die Anmeldeinformationen für das Active Directory-Benutzerkonto ein (gemäß der Active Directory-Domäne, die Sie für die Umgebung registriert haben). Das System stellt vordefinierte Rollen bereit, die Sie Ihren verschiedenen Active Directory-Gruppen zuweisen können. Diese domänenbezogenen Rollen von Active Directory regeln, welche Bereiche der Konsole sichtbar und aktiviert bzw. sichtbar und deaktiviert sind, wenn die angemeldete Person durch die Konsole navigiert. Sie müssen den entsprechenden Active Directory-Gruppen Ihrer Organisation eine Rolle zuweisen, damit die Benutzer in dieser Gruppe die Konsole verwenden können, um die für sie vorgesehenen Arbeitsaktivitäten auszuführen.

Die Rolle, die Sie mithilfe der hier beschriebenen Schritte zuweisen, ist eine der beiden Rollentypen, anhand derer die Konsole bestimmt, was in der authentifizierten Sitzung einer Person in der Konsole angezeigt werden kann und welche Aktionen sie für die angezeigten Inhalte in der Konsole ausführen kann. Im Workflow zur Standardanmeldung werden im ersten Anmeldebildschirm der Konsole My VMware-Konten verwendet, die auf der Seite „Allgemeine Einstellungen“ den Rollen zugewiesen werden. Der zweite Anmeldebildschirm verwendet Active Directory-Anmeldeinformationen, die auf dieser Seite „Rollen und Berechtigungen“ mit Rollen verknüpft sind. Diese domänenbezogenen Rollen von Active Directory bestimmen die Sichtbarkeit der Konsolenfunktionen und -elemente. Diese Rolle bestimmt auch, welche Benutzeroberflächenelemente möglicherweise als deaktiviert angezeigt werden, wenn die Person durch die Konsole navigiert. Beispielsweise kann eine Person in einer Active Directory-Gruppe, der die Rolle Nur-Lese-Helpdesk-Administrator zugewiesen ist, zu den Benutzerkarten für Endbenutzer navigieren und die Informationen anzeigen, aber keine Vorgänge auf den Desktops durchführen. Eine Person in einer Active Directory-Gruppe, der die Rolle Helpdesk-Administrator zugewiesen ist, kann zu den Benutzerkarten navigieren und Fehlerbehebungen durchführen sowie die Informationen anzeigen.

Diese domänenbezogenen Rollen von Active Directory arbeiten in Kombination mit den Rollen der My VMware-Konten, die die Personen in Ihrer Organisation zum Anmelden mit dem Standard-Anmeldungsworkflow verwenden. Aus diesem Grund müssen Sie sicherstellen, dass die Gesamtkombination der beiden Rollen auch dann weiterhin die gewünschten Ergebnisse für eine Einzelperson widerspiegelt, wenn die Einzelperson verschiedene Aufgabenpositionen übernimmt und mehreren Active Directory-Gruppen in Ihrer Organisation angehört. Einzelheiten zu den beiden Rollentypen und den Best Practice-Kombinationen der Rollenzuweisungen finden Sie unter Best Practices bezüglich der beiden Rollentypen, die Sie für die Verwendung vonHorizon Universal Console in Ihrer Horizon Cloud-Umgebung zuweisen.

Hinweis: Rollenänderungen, die Sie mithilfe der Horizon Cloud Service-Plattform vornehmen (über VMware Cloud Services auf cloud.vmware.com), werden nicht in der Horizon Universal Console angezeigt. Sie müssen Rollenänderungen direkt in der Horizon Universal Console vornehmen, wie im Folgenden beschrieben.
Vorsicht: Beachten Sie, dass die Rolle „Superadministrator“ festlegt, welche Ihrer AD-Benutzerkonten sich bei Ihrem Horizon Cloud-Mandantenkonto anmelden und in der Konsole administrative Vorgänge durchführen können, zu denen auch die hier beschriebenen Schritte für das Zuweisen von Rollen zu Ihren AD-Gruppen gehören. Wenn Sie nur eine einzige AD-Gruppe haben, der die Rolle „Superadministrator“ zugewiesen ist, dürfen Sie die angegebene Administratorgruppe erst dann aus Ihrem Active Directory-System entfernen oder die in Ihrem Active Directory-System angezeigte GUID ändern, nachdem Sie eine weitere Administratorgruppe zur Superadministratorrolle hinzugefügt haben. Wenn Sie die Gruppe aus Ihrem Active Directory-System entfernen oder die in Ihrem Active Directory-System angezeigte GUID ändern, wird diese Änderung nicht an die Horizon Cloud-Steuerungsebene übermittelt und Horizon Cloud „weiß“ nicht länger, dass diese AD-Gruppe die Rolle „Superadministrator“ besitzt. Wenn es sich bei dieser Gruppe um die einzige Gruppe handelt, die Sie der Rolle „Superadministrator“ zugewiesen haben, kann sich möglicherweise keines der AD-Konten, das sich bislang mit der Zugriffsebene „Superadministrator“ anmelden konnte, mehr anmelden und administrative Vorgänge durchführen. Daher ist es auch nicht mehr möglich, die Rolle einer AD-Gruppe zuzuweisen, um erneut einen Satz AD-Konten mit Superadministratorzugriff einzurichten. Dem Domänendienstkonto wird immer die Rolle „Superadministrator“ zugewiesen. Wenn Sie Ihre einzige, der Superadministratorrolle zugewiesene AD-Gruppe entfernt haben und das Domänendienstkonto nicht in dieser Gruppe enthalten war, können Sie versuchen, sich mit den Anmeldedaten für das Domänendienstkonto bei der Konsole anzumelden und die Schritte zum Zuweisen der Superadministratorrolle zu einer neuen AD-Gruppe durchzuführen. Wenn Sie sich mit dem Domänendienstkonto jedoch nicht anmelden können, müssen Sie sich an den VMware Support wenden, der Sie beim Wiederherstellen des Administratorzugriffs auf Ihr Mandantenkonto unterstützt.
Wichtig: Diese Horizon Cloud-Rollen können nur Gruppen zugeordnet werden. Das System bietet Ihnen keine Möglichkeit, einzelne Active Directory-Benutzerkonten für jede Rolle auszuwählen.

Die Tatsache, dass die Rollen nur Gruppen, aber keinen einzelnen Konten zugewiesen können, bedeutet auch, dass Sie es vermeiden müssen, derselben Active Directory-Domänengruppe zwei Rollen zuzuweisen. Mit der Rolle „Superadministrator“ werden alle Berechtigungen zur Durchführung aller Verwaltungsaufgaben in der Konsole erteilt. Dagegen verfügt die Rolle „Demo-Administrator“ über keine Schreibrechte. Wenn Sie diese beiden Rollen derselben Active Directory-Gruppe zuweisen, werden die Berechtigungen der Rolle „Superadministrator“ nicht auf alle Benutzer in dieser Gruppe übertragen. Ihre Aktionen werden dann in der Konsole eingeschränkt, sodass Sie für Ihre Umgebung möglicherweise nicht alle Verwaltungsaufgaben durchführen können.

Die folgenden vordefinierten Rollen werden standardmäßig ausgeliefert. Die vordefinierten Rollen können nicht geändert werden.

Tabelle 1. Horizon Cloud-Gruppen für eine rollenbasierte Zugriffssteuerung
Rolle Beschreibung
Superadministrator Eine obligatorische Rolle, die Sie mindestens einer Gruppe in Ihrer Active Directory-Domäne zuweisen müssen (optional auch anderen Gruppen). Diese Rolle gewährt alle Berechtigungen für den Zugriff auf alle Bereiche der Konsole und für die Ausführung von Verwaltungsaktionen in der Konsole.

Primären Domänendienstkonten und Hilfsdomänendienstkonten wird immer die Rolle „Superadministrator“ zugewiesen, mit der alle Berechtigungen zum Durchführen von Verwaltungsaktionen in der Konsole erteilt werden. Sie sollten sicherstellen, dass Benutzer ohne die Berechtigung „Superadministrator“ nicht auf die festgelegten Domänendienstkonten zugreifen können.

Hinweis: Wenn Ihre Pod-Flotte Pods enthält, auf denen Manifeste vor 1600.0 ausgeführt werden, müssen Sie sicherstellen, dass das Domänenbeitrittskonto eine der Gruppen darstellt, denen Sie die Rolle „Superadministrator“ gewährt haben. Weitere Informationen finden Sie unter Dienstkonten, die Horizon Cloud für seine Vorgänge benötigt.
Helpdesk-Administrator Eine Rolle, die Sie optional einer oder mehreren Gruppen zuordnen können. Zweck dieser Rolle ist es, den Zugriff auf die Konsole zu ermöglichen, damit Ihre Active Directory-Gruppen mit dieser Rolle mit den Funktionen der Benutzerkarte arbeiten können:
  • Status der Endbenutzersitzungen anzeigen
  • Fehlerbehebungsvorgänge an den Sitzungen durchführen
Nur-Lese-Helpdesk-Administrator Eine Rolle, die Sie optional einer von mehreren Gruppen zuordnen können. Zweck dieser Rolle ist es, den Zugriff auf die Konsole zu ermöglichen, sodass Ihre Active Directory-Gruppen mit dieser Rolle mit den Funktionen der Benutzerkarte arbeiten können, um den Status der Endbenutzer-Sitzungen anzuzeigen.
Demo-Administrator Eine Rolle, die Sie optional einer oder mehreren Gruppen zuordnen können. Bei der Kombination mit der schreibgeschützten Kundenadministratorrolle für das My VMware-Konto können die Benutzer in dieser Gruppe die Einstellungen anzeigen und Optionen auswählen, um zusätzliche Optionen in der Konsole anzuzeigen. Die ausgewählten Einstellungen bewirken jedoch keine Änderung der Konfigurationseinstellungen.

Voraussetzungen

Vorsicht: Bevor Sie Ihren bestehenden Active Directory-Gruppen Rollen zuweisen, überprüfen Sie die Benutzerkontozugehörigkeit in den Active Directory-Gruppen, um sicherzustellen, dass ein Benutzerkonto nur eine dieser Horizon Cloud-Rollen erhält. Erstellen Sie bei Bedarf spezifische Active Directory-Gruppen. Da diese Rollen auf der Ebene der Active Directory-Gruppe zugewiesen werden, können unerwartete Ergebnisse auftreten, wenn das Active Directory-Konto eines Benutzers zu zwei Active Directory-Gruppen gehört und jeder Gruppe eine andere Rolle zugewiesen wird. Die Funktionen der Konsole sind in dieser Reihenfolge sichtbar:
  1. Superadministrator
  2. Helpdesk-Administrator
  3. Demo-Administrator
  4. Nur-Lese-Helpdesk-Administrator

Wenn das Active Directory-Konto eines Benutzers zu den beiden Active Directory-Gruppen ADGroup1 und ADGroup2 gehört und Sie ADGroup1 die Rolle Superadministrator und ADGroup2 die Rolle Nur-Lese-Helpdesk-Administrator zuweisen, zeigt die Konsole alle Funktionen gemäß der Rolle Superadministrator anstelle der Teilmenge der Funktionen für die andere Rolle an, da die Rolle Superadministrator Vorrang hat.

Überprüfen Sie außerdem die Rollen, die den My VMware-Konten der Gruppenmitglieder zugewiesen sind, um sicherzustellen, dass diese Rollen auf die Rolle ausgerichtet sind, die Sie ihrer Active Directory-Gruppe zuweisen. Befolgen Sie die unter Best Practices bezüglich der beiden Rollentypen, die Sie für die Verwendung vonHorizon Universal Console in Ihrer Horizon Cloud-Umgebung zuweisen beschriebenen Best Practice-Kombinationen.

Prozedur

  1. Navigieren Sie in der Konsole zu Einstellungen > Rollen und Berechtigungen.
  2. Wählen Sie eine der vordefinierten Rollen aus und klicken Sie auf Bearbeiten.
  3. Verwenden Sie das Suchfeld, um eine Active Directory-Gruppe zu suchen und auszuwählen.
    Sie müssen mindestens drei Zeichen in das Suchfeld eingeben, damit die Ergebnisse angezeigt werden.
    Die Gruppe wird dem Satz ausgewählter Gruppen hinzugefügt.
  4. Klicken Sie auf Speichern.

Nächste Maßnahme

Stellen Sie sicher, dass die Benutzer in der Domänengruppe über die entsprechenden Rollen für ihre My VMware-Konten verfügen. Siehe Best Practices bezüglich der beiden Rollentypen, die Sie für die Verwendung vonHorizon Universal Console in Ihrer Horizon Cloud-Umgebung zuweisen und Erteilen von Administratorrollen für Einzelpersonen in Ihrer Organisation zum Anmelden bei und Ausführen von Aktionen in Ihrer Horizon Cloud-Mandantenumgebung mit der Horizon Universal Console.