Bei der Authentifizierung bei der cloudbasierten Verwaltungskonsole gibt die Einzelperson aus Ihrem Unternehmen nach der Authentifizierung im ersten Anmeldebildschirm ihre Active Directory-Benutzerkontodaten im zweiten Anmeldebildschirm ein, entsprechend der Active Directory-Domäne, die Sie in der Umgebung registriert haben. Das System stellt vordefinierte Rollen bereit, die Sie Ihren verschiedenen Active Directory-Gruppen zuweisen können. Diese domänenbezogenen Rollen von Active Directory regeln, welche Bereiche der Konsole sichtbar und aktiviert bzw. sichtbar und deaktiviert sind, wenn die angemeldete Person durch die Konsole navigiert. Sie müssen den entsprechenden Active Directory-Gruppen Ihrer Organisation eine Rolle zuweisen, damit die Benutzer in dieser Gruppe die Konsole verwenden können, um die für sie vorgesehenen Arbeitsaktivitäten auszuführen.

Nicht vergessen: Wie in Profil der cloudbasierten Horizon Universal Console beschrieben, ist die First-Gen-Konsole dynamisch und spiegelt Funktionen wider, die für die zeitnahe Konfiguration Ihrer First-Gen-Mandantenumgebung geeignet sind. Der Zugriff auf die in dieser Dokumentation beschriebenen Funktionen kann von folgenden Faktoren abhängen:
  • Ob die Funktion vom Systemcode abhängt, der nur im aktuellen First-Gen-Horizon Cloud-Podmanifest, in der Horizon Pod-Version oder in der Horizon Cloud Connector-Version verfügbar ist.
  • Ob der Zugriff auf die Funktion in begrenzter Verfügbarkeit möglich ist, wie in den Versionshinweisen bei der Einführung der Funktion angegeben.
  • Ob die Funktion bestimmte Lizenzen oder SKUs erfordert.

Wenn eine Funktion in dieser Dokumentation erwähnt wird und diese Funktion in der First-Gen-Konsole nicht angezeigt wird, überprüfen Sie zuerst in den Versionshinweisen, ob der Zugriff auf die Funktion eingeschränkt ist und wie Sie die Aktivierung in Ihrem Mandanten anfordern können. Wenn Sie der Meinung sind, dass Sie berechtigt sind, eine in dieser Dokumentation beschriebene Funktion zu verwenden, und diese nicht in der Konsole angezeigt wird, können Sie alternativ Ihren VMware Horizon Cloud Service-Vertreter fragen oder, wenn Sie keinen Vertreter haben, eine Service-Anfrage (Service Request, SR) an das Horizon Cloud Service-Team stellen, wie in Support-Anfrage in Customer Connect (VMware KB 2006985) beschrieben.

Die Rolle, die Sie mithilfe der hier beschriebenen Schritte zuweisen, ist eine der beiden Rollentypen, anhand derer die Konsole bestimmt, was in der authentifizierten Sitzung einer Person in der Konsole angezeigt werden kann und welche Aktionen sie für die angezeigten Inhalte in der Konsole ausführen kann.

Im Workflow zur Standardanmeldung werden im ersten Anmeldebildschirm der Konsole VMware Customer Connect-Konten verwendet, die auf der Seite „Allgemeine Einstellungen“ den Rollen zugewiesen werden. Diese Konten wurden in der Vergangenheit als My VMware-Konten bezeichnet.

Der zweite Anmeldebildschirm verwendet AD-Anmeldeinformationen (Active Directory), die über die Seite „Rollen und Berechtigungen“ mit Rollen verknüpft werden. Diese AD domänenbezogenen Rollen bestimmen die Sichtbarkeit der Konsolenfunktionen und ‑elemente. Diese Rolle bestimmt auch, welche Benutzeroberflächenelemente möglicherweise als deaktiviert angezeigt werden, wenn die Person durch die Konsole navigiert.

Beispielsweise kann eine Person in einer AD-Gruppe, der die Rolle Zuweisungsadministrator zugewiesen ist, Vorgänge im Zusammenhang mit der Verwaltung von Endbenutzerzuweisungen und Farmen durchführen, aber keine anderen Vorgänge ausführen. Eine Person in einer AD-Gruppe mit der Rolle Nur-Lese-Helpdesk-Administrator kann zu den Benutzerkarten für Endbenutzer navigieren und die Informationen anzeigen, aber keine Fehlerbehebungsvorgänge für Benutzersitzungen durchführen. Auf der anderen Seite kann eine Person in einer AD-Gruppe mit der Rolle Helpdesk-Administrator zu Benutzerkarten navigieren und Informationen anzeigen sowie Fehlerbehebungsvorgänge für Benutzersitzungen durchführen. Für die Rolle Helpdesk-Administrator können Sie auch den Umfang der Fehlerbehebungsvorgänge einschränken, die eine AD-Gruppe durchführen kann.

Diese domänenbezogenen Rollen von AD arbeiten in Kombination mit den Rollen der VMware Customer Connect-Konten, die die Personen in Ihrer Organisation zum Anmelden mit dem Standard-Anmeldungsworkflow verwenden. Aus diesem Grund müssen Sie sicherstellen, dass die Gesamtkombination der beiden Rollen auch dann weiterhin die gewünschten Ergebnisse für eine Einzelperson widerspiegelt, wenn die Einzelperson verschiedene Aufgabenpositionen übernimmt und mehreren AD-Gruppen in Ihrer Organisation angehört. Einzelheiten zu den beiden Rollentypen und den Best Practice-Kombinationen der Rollenzuweisungen finden Sie unter Best Practices bezüglich der beiden Rollentypen, die Sie für die Verwendung vonHorizon Universal Console in Ihrer Horizon Cloud-Umgebung zuweisen.

Hinweis: Rollenänderungen, die Sie mithilfe der Horizon Cloud Service-Plattform vornehmen (über VMware Cloud Services auf cloud.vmware.com), werden nicht in der Horizon Universal Console angezeigt. Sie müssen Rollenänderungen direkt in der Horizon Universal Console vornehmen, wie im Folgenden beschrieben.
Vorsicht: Beachten Sie, dass die Rolle „Superadministrator“ festlegt, welche Ihrer AD-Benutzerkonten sich bei Ihrem Horizon Cloud-Mandantenkonto anmelden und in der Konsole administrative Vorgänge durchführen können, zu denen auch die hier beschriebenen Schritte für das Zuweisen von Rollen zu Ihren AD-Gruppen gehören. Wenn Sie nur eine einzige AD-Gruppe haben, der die Rolle „Superadministrator“ zugewiesen ist, dürfen Sie die angegebene Administratorgruppe erst dann aus Ihrem Active Directory-System entfernen oder die in Ihrem Active Directory-System angezeigte GUID ändern, nachdem Sie eine weitere Administratorgruppe zur Superadministratorrolle hinzugefügt haben. Wenn Sie die Gruppe aus Ihrem Active Directory-System entfernen oder die in Ihrem Active Directory-System angezeigte GUID ändern, wird diese Änderung nicht an die Horizon Cloud-Steuerungsebene übermittelt und Horizon Cloud „weiß“ nicht länger, dass diese AD-Gruppe die Rolle „Superadministrator“ besitzt. Wenn es sich bei dieser Gruppe um die einzige Gruppe handelt, die Sie der Rolle „Superadministrator“ zugewiesen haben, kann sich möglicherweise keines der AD-Konten, das sich bislang mit der Zugriffsebene „Superadministrator“ anmelden konnte, mehr anmelden und administrative Vorgänge durchführen. Daher ist es auch nicht mehr möglich, die Rolle einer AD-Gruppe zuzuweisen, um erneut einen Satz AD-Konten mit Superadministratorzugriff einzurichten. Dem Domänendienstkonto wird immer die Rolle „Superadministrator“ zugewiesen. Wenn Sie Ihre einzige, der Superadministratorrolle zugewiesene AD-Gruppe entfernt haben und das Domänendienstkonto nicht in dieser Gruppe enthalten war, können Sie versuchen, sich mit den Anmeldedaten für das Domänendienstkonto bei der Konsole anzumelden und die Schritte zum Zuweisen der Superadministratorrolle zu einer neuen AD-Gruppe durchzuführen. Wenn Sie sich mit dem Domänendienstkonto jedoch nicht anmelden können, müssen Sie sich an den VMware Support wenden, der Sie beim Wiederherstellen des Administratorzugriffs auf Ihr Mandantenkonto unterstützt.
Wichtig: Diese Horizon Cloud-Rollen können nur Gruppen zugeordnet werden. Das System bietet Ihnen keine Möglichkeit, einzelne Active Directory-Benutzerkonten für jede Rolle auszuwählen.

Die Tatsache, dass die Rollen nur Gruppen, aber keinen einzelnen Konten zugewiesen können, bedeutet auch, dass Sie es vermeiden müssen, derselben AD-Domänengruppe zwei Rollen zuzuweisen. Mit der Rolle „Superadministrator“ werden alle Berechtigungen zur Durchführung aller Verwaltungsaufgaben in der Konsole erteilt. Dagegen verfügt die Rolle „Demo-Administrator“ über keine Schreibrechte. Wenn Sie diese beiden Rollen derselben AD-Gruppe zuweisen, werden die Berechtigungen der Rolle „Superadministrator“ nicht auf alle Benutzer in dieser Gruppe übertragen. Ihre Aktionen werden dann in der Konsole eingeschränkt, sodass Sie für Ihre Umgebung möglicherweise nicht alle Verwaltungsaufgaben durchführen können.

Die folgenden vordefinierten Rollen werden standardmäßig ausgeliefert. Die vordefinierten Rollen können nicht geändert werden.

Tabelle 1. Horizon Cloud-Gruppen für eine rollenbasierte Zugriffssteuerung
Rolle Beschreibung
Superadministrator

Eine obligatorische Rolle, die Sie mindestens einer Gruppe in Ihrer AD-Domäne und optional anderen Gruppen zuweisen müssen. Diese Rolle gewährt alle Berechtigungen für den Zugriff auf alle Bereiche der Konsole und für die Ausführung von Verwaltungsaktionen in der Konsole.

Primären Domänendienstkonten und Hilfsdomänendienstkonten wird immer die Rolle „Superadministrator“ zugewiesen, mit der alle Berechtigungen zum Durchführen von Verwaltungsaktionen in der Konsole erteilt werden. Sie sollten sicherstellen, dass Benutzer ohne die Berechtigung „Superadministrator“ nicht auf die festgelegten Domänendienstkonten zugreifen können.

Hinweis: Wenn Ihre Pod-Flotte Pods enthält, auf denen Manifeste vor 1600.0 ausgeführt werden, müssen Sie sicherstellen, dass das Domänenbeitrittskonto eine der Gruppen darstellt, denen Sie die Rolle „Superadministrator“ gewährt haben. Weitere Informationen finden Sie unter Dienstkonten, die Horizon Cloud für seine Vorgänge benötigt.
Zuweisungsadministrator

Wenn Ihre Mandantenumgebung für diese Funktion aktiviert ist, können Sie diese Rolle optional einer oder mehreren Gruppen zuweisen. AD-Gruppen mit dieser Rolle haben Zugriff auf die Konsole zum Erstellen, Ändern und Löschen von Endbenutzerzuweisungen und Farmen. Gruppen mit dieser Rolle können auch Vorgänge im Zusammenhang mit der Verwaltung von Zuweisungen und Farmen durchführen, z. B. VM-Konfiguration, Energieverwaltung und Konfiguration von Remoteanwendungen.
Helpdesk-Administrator Eine Rolle, die Sie optional einer oder mehreren Gruppen zuordnen können. Der Zweck dieser Rolle ist es, den Zugriff auf die Konsole zu ermöglichen, damit Ihre AD-Gruppen mit dieser Rolle mit den folgenden Funktionen der Benutzerkarte arbeiten können:
  • Status der Endbenutzersitzungen anzeigen.
  • Fehlerbehebungsvorgänge an den Sitzungen durchführen

Standardmäßig verfügen AD-Gruppen mit dieser Rolle über die Berechtigung, Fehlerbehebungsvorgänge für Sitzungen durchzuführen, die mit einer Zuweisung oder Farm in der Konsole verknüpft sind. Wenn Ihre Mandantenumgebung für diese Funktion aktiviert ist, können Sie optional auch die Berechtigungen für eine Gruppe ändern, um den Umfang der Fehlerbehebungsvorgänge dieser Gruppe auf die Sitzungen zu beschränken, die bestimmten Zuweisungen und Farmen zugeordnet sind. Um den Berechtigungsbereich einer Gruppe zu ändern, klicken Sie auf das Bearbeitungssymbol für diese Gruppe.

Hinweis: Wenn Sie eine Zuweisung oder Farm in den Berechtigungsbereich einer AD-Gruppe aufnehmen und später versuchen, diese Zuweisung oder Farm zu löschen, wird sie sofort aus dem Berechtigungsbereich der Gruppe entfernt. Wenn der Löschvorgang fehlschlägt und die Zuweisung oder Farm noch vorhanden ist, müssen Sie sie manuell wieder zum Berechtigungsbereich hinzufügen, um den Zugriff der Gruppe darauf zu erhalten.
Nur-Lese-Helpdesk-Administrator Eine Rolle, die Sie optional einer von mehreren Gruppen zuordnen können. Zweck dieser Rolle ist es, den Zugriff auf die Konsole zu ermöglichen, sodass Ihre AD-Gruppen mit dieser Rolle mit den Funktionen der Benutzerkarte arbeiten können, um den Status der Endbenutzer-Sitzungen anzuzeigen.
Demo-Administrator Eine Rolle, die Sie optional einer oder mehreren Gruppen zuordnen können. In Kombination mit der Rolle „Kundenadministrator schreibgeschützt“ für das VMware Customer Connect-Konto können die Benutzer in dieser Gruppe die Einstellungen anzeigen und Optionen auswählen, um zusätzliche Optionen in der Konsole anzuzeigen. Die ausgewählten Einstellungen bewirken jedoch keine Änderung der Konfigurationseinstellungen.

Voraussetzungen

  • Bevor Sie Ihren bestehenden Active Directory-Gruppen Rollen zuweisen, überprüfen Sie die Benutzerkontozugehörigkeit in den Active Directory-Gruppen, um sicherzustellen, dass ein Benutzerkonto nur eine dieser Horizon Cloud-Rollen erhält. Erstellen Sie bei Bedarf spezifische Active Directory-Gruppen. Da diese Rollen auf der Ebene der Active Directory-Gruppe zugewiesen werden, können unerwartete Ergebnisse auftreten, wenn das Active Directory-Konto eines Benutzers zu zwei Active Directory-Gruppen gehört und jeder Gruppe eine andere Rolle zugewiesen wird. Die Funktionen der Konsole sind in dieser Reihenfolge sichtbar:
    1. Superadministrator
    2. Zuweisungsadministrator
    3. Helpdesk-Administrator
    4. Demo-Administrator
    5. Nur-Lese-Helpdesk-Administrator

    Wenn das Active Directory-Konto eines Benutzers zu den beiden Active Directory-Gruppen ADGroup1 und ADGroup2 gehört und Sie ADGroup1 die Rolle Superadministrator und ADGroup2 die Rolle Nur-Lese-Helpdesk-Administrator zuweisen, zeigt die Konsole alle Funktionen gemäß der Rolle Superadministrator anstelle der Teilmenge der Funktionen für die andere Rolle an, da die Rolle Superadministrator Vorrang hat.

  • Überprüfen Sie außerdem die Rollen, die den VMware Customer Connect-Konten der Gruppenmitglieder zugewiesen sind, um sicherzustellen, dass diese Rollen auf die Rolle ausgerichtet sind, die Sie ihrer Active Directory-Gruppe zuweisen. Befolgen Sie die unter Best Practices bezüglich der beiden Rollentypen, die Sie für die Verwendung vonHorizon Universal Console in Ihrer Horizon Cloud-Umgebung zuweisen beschriebenen Best Practice-Kombinationen.
Wichtig: Das System unterstützt die Zuweisung von maximal 64 eindeutigen Active Directory-Gruppen über alle vordefinierten Horizon Cloud-Rollen hinweg.

Prozedur

  1. Navigieren Sie in der Konsole zu Einstellungen > Rollen und Berechtigungen.
  2. Wählen Sie eine der vordefinierten Rollen aus und klicken Sie auf Bearbeiten.
  3. Verwenden Sie das Suchfeld, um eine Active Directory-Gruppe zu suchen und auszuwählen.
    Sie müssen mindestens drei Zeichen in das Suchfeld eingeben, damit die Ergebnisse angezeigt werden.
    Die Gruppe wird dem Satz ausgewählter Gruppen hinzugefügt.
  4. Klicken Sie auf Speichern.
    Wichtig: Das System verhindert das Speichern der ausgewählten Gruppen in der Rolle, wenn der Speichervorgang dazu führen würde, dass die vom System unterstützte maximale Anzahl von Active Directory-Gruppen, die allen Rollen zugewiesen werden können, überschritten wird. Der unterstützte Maximalwert wird im Abschnitt „Voraussetzungen“ dieses Dokumentationsthemas angegeben.

Nächste Maßnahme

Stellen Sie sicher, dass die Benutzer in der Domänengruppe über die entsprechenden Rollen für ihre VMware Customer Connect-Konten verfügen. Siehe Best Practices bezüglich der beiden Rollentypen, die Sie für die Verwendung vonHorizon Universal Console in Ihrer Horizon Cloud-Umgebung zuweisen und Erteilen von Administratorrollen für Einzelpersonen in Ihrer Organisation zum Anmelden bei und Ausführen von Aktionen in Ihrer Horizon Cloud-Mandantenumgebung mit der Horizon Universal Console.