In einer komplexen Active Directory-Umgebung existiert für Ihre Organisation möglicherweise ein Szenario, in dem Ihre vom Pod bereitgestellten Ressourcen einer Domäne in einer Gesamtstruktur beigetreten sind, während sich Ihre Benutzerkonten in einer Domäne in einer anderen Gesamtstruktur befinden. Zudem verfügen Sie in diesem Szenario über eine externe oder eine Gesamtstruktur-Vertrauensstellung, mit der Benutzer in ihrer Domäne auf Ressourcen in der anderen Domäne zugreifen können. In diesem Thema wird die Horizon Cloud-Unterstützung für das Durchsuchen dieser externen Vertrauensstellungen oder Gesamtstruktur-Vertrauensstellungen beschrieben, die sich zwischen Ihren Domänen verschiedener Gesamtstrukturen befinden.

In der Verwaltungskonsole erstellen Sie die so genannten Zuweisungen, um Benutzern und Gruppen Berechtigungen für die von Pods bereitgestellten Ressourcen zu erteilen. Wenn Sie die-Konsole zum Erstellen einer VDI-Desktop-Zuweisung oder einer Farm verwenden, geben Sie an, in welcher der in der Cloud registrierten Domänen sich die resultierenden Desktop-VMs bzw. Farmsitzungshost-VMs befinden. Mithilfe der Konsole konfigurieren Sie auch die Zuweisungen, um Benutzern und Gruppen in Ihren Active Directory-Domänen die Nutzung dieser Ressourcen zu ermöglichen. Um die Verwendung komplexer Domänenumgebungen für diese Zuweisungen zu ermöglichen, bietet Horizon Cloud Unterstützung für Folgendes:

  • Erteilen der Berechtigung für vom Pod bereitgestellte Ressourcen, die einer Domäne in einer Gesamtstruktur beigetreten sind, für Benutzer und Gruppen, die einer Domäne in einer anderen Gesamtstruktur beigetreten sind.
  • Unidirektionale Vertrauensstellungen.
Wichtig: Die Verwendung von lokalen Domänengruppen für Horizon Cloud-Zuweisungen wird nicht unterstützt. Um Gruppen aus verschiedenen Gesamtstrukturen Berechtigungen für dieselbe Zuweisung zu erteilen, müssen Sie eine universelle Gruppe aus jeder Gesamtstruktur registrieren.

Damit Horizon Cloud Ihre externen Vertrauensstellungen und Gesamtstruktur-Vertrauensstellungen unterstützt, müssen Sie die folgenden Aktionen ausführen:

  • Registrieren Sie bei Horizon Cloud alle Domänen aus allen Gesamtstrukturen, die Konten enthalten, die Sie mit Ressourcen verwenden möchten, die über die mit der Cloud verbundenen Pods bereitgestellt werden. Das System kann die Gruppen einer Gesamtstruktur nur dann validieren, wenn die Domänen bei Horizon Cloud registriert ist. Siehe Durchführen der ersten Active Directory-Domänenregistrierung in der Horizon Cloud-Umgebung und Registrieren zusätzlicher Active Directory-Domänen als Cloud-konfigurierte Active Directory-Domänen mit Ihrer Horizon Cloud-Mandantenumgebung. Wie in diesen Themen beschrieben, müssen alle in der Cloud registrierte Active Directory-Domänen für sämtliche mit der Cloud verbundenen Pods sichtbar sein.
  • Registrieren Sie die Stammdomäne der Gesamtstruktur von beiden Seiten einer Gesamtstruktur-Vertrauensstellung. Diese Anforderung muss auch dann erfüllt sein, wenn Sie über keine Benutzer oder Desktops in den Stammdomänen der Gesamtstruktur verfügen. Diese Anforderung ermöglicht es Horizon Cloud, eine Verbindung zum Stamm der Gesamtstruktur herzustellen und die relevanten TDOs (vertrauenswürdige Domänenobjekte) zu entschlüsseln.
  • Aktivieren Sie in jeder Gesamtstruktur für mindestens eine registrierte Domäne den globalen Katalog. Für einen optimalen Arbeitsablauf sollte für alle registrierten Domänen ein globaler Katalog aktiviert sein.
  • Damit Gruppen aus verschiedenen Gesamtstrukturen Berechtigungen für dieselbe Zuweisung in Horizon Cloud erteilt werden können, registrieren Sie mindestens eine universelle Gruppe aus jeder Gesamtstruktur.
  • Halten Sie eine hierarchische Struktur für den DNS Name und den Stammnamenskontext der Gesamtstrukturdomäne ein. Wenn die übergeordnete Domäne zum Beispiel example.edu heißt, könnte eine untergeordnete Domäne zwar vpc.example.edu, aber nicht vpc.com genannt werden.
  • Vermeiden Sie die Verwendung einer Domäne aus einer extern vertrauenswürdigen Gesamtstruktur mit einem NetBIOS-Namen, der mit einer anderen registrierten Domäne in Konflikt gerät, da solche Domänen aus der Enumeration des Systems ausgeschlossen werden. Der registrierte NetBIOS-Name hat Vorrang vor einem in Konflikt stehenden NetBIOS-Namen, der während der Systemenumeration der Domänen einer vertrauenswürdigen Gesamtstruktur gefunden wird.