Für Horizon Cloud müssen in Ihrer Active Directory-Domäne zwei Konten als Dienstkonten verwendet werden. In diesem Beitrag werden die Anforderungen beschrieben, die diese beiden Konten erfüllen müssen.

Für Horizon Cloud müssen Sie zwei Active Directory-Konten für die Verwendung als Dienstkonten festlegen.

  • Ein Domänendienstkonto, das zum Ausführen von Suchvorgängen in Ihrer Active Directory-Domäne verwendet wird.
  • Ein Domänenbeitrittskonto, das für den Beitritt von Computerkonten zur Domäne und für Sysprep-Operationen verwendet wird.
    Hinweis: Für Pods in Microsoft Azure verwendet das System dieses Domänenbeitrittskonto in Vorgängen, die das Verknüpfen von virtuellen Maschinen mit der Domäne erfordern. Dies ist beispielsweise beim Importieren eines Images vom Microsoft Azure Marketplace, beim Erstellen von Farm-RDSH-Instanzen, von VDI-Desktop-Instanzen usw. der Fall.

Sie müssen sicherstellen, dass die Active Directory-Konten, die Sie für diese Dienstkonten angeben, die folgenden für den Betrieb von Horizon Cloud erforderlichen Anforderungen erfüllen. Verwenden Sie nach dem Onboarding des ersten Pods in ihrem Mandanten die cloudbasierte Verwaltungskonsole, um die Anmeldedaten für diese Konten bereitzustellen.

Wichtig:
  • Verwenden Sie diese Dienstkonten nicht in anderen Konfigurationen als in der Horizon Cloud Active Directory-Domänenregistrierung. Wenn Sie diese Dienstkonten in anderen Konfigurationen wiederverwenden, kann es zu unerwarteten Ergebnissen kommen. Verwenden Sie dieses Domänendienstkonto beispielsweise nicht in ihren Workspace ONE Access-Connector-Konfigurationseinstellungen, da andernfalls unerwartete Benachrichtigungen über das Domänendienstkonto in der Horizon Cloud-Verwaltungskonsole angezeigt werden können.
  • Sie müssen sicherstellen, dass Ihr Domänendienst- und Ihr Domänenbeitrittskonto weiterhin über die Berechtigungen verfügen, die hier für alle OEs und Objekte beschrieben sind, die Sie mit dem System verwenden oder voraussichtlich verwenden werden. Horizon Cloud kann die Active Directory-Gruppen, die Sie möglicherweise in der Umgebung verwenden möchten, nicht vorab auffüllen oder vorhersehen. Sie müssen Horizon Cloud über die Konsole mit dem Domänendienstkonto und dem Domänenbeitrittskonto konfigurieren.
Vorsicht:

Sie können die gesamte Steuerung für die Konten festlegen, anstatt alle Berechtigungen separat festzulegen. Es wird jedoch empfohlen, die Berechtigungen separat festzulegen.

Domänendienstkonto – Erforderliche Eigenschaften

  • Das Domänendienstkonto kann nicht ablaufen, geändert oder gesperrt werden. Sie müssen diese Kontokonfigurationstyp verwenden, da das primäre Domänendienstkonto als Dienstkonto zur Abfrage von Active Directory verwendet wird. Wenn aus irgendeinem Grund nicht auf das primäre Domänendienstkonto zugegriffen werden kann, wird das zusätzliche Domänendienstkonto verwendet. Wenn das primäre und zusätzliche Domänendienstkonto abgelaufen oder nicht mehr zugänglich ist, können Sie sich nicht bei der cloudbasierten Konsole anmelden und die Konfiguration aktualisieren.
    Wichtig: Wenn das primäre und zusätzliche Domänendienstkonto abgelaufen oder nicht mehr zugänglich sind, können Sie sich nicht bei der Konsole anmelden und die Konfiguration durch funktionierende Angaben zum Domänendienstkonto aktualisieren. Wenn Sie für das primäre Domänendienstkonto und das zusätzliche Domänendienstkonto nicht Läuft nie ab festlegen, sollten Sie für beide unterschiedliche Ablaufzeiten angeben. Sie müssen dann auf die Ablaufzeit achten und die Daten Ihres Horizon Cloud-Domänendienstkontos aktualisieren, bevor die Ablaufzeit erreicht ist.
  • Das Domänendienstkonto benötigt das Attribut sAMAccountName. Das Attribut „sAMAccountName“ darf höchstens 20 Zeichen lang sein und darf keines der folgenden Zeichen enthalten: "/\ []:; | = , + * ? < >
  • Dem Domänendienstkonto wird immer die Rolle „Superadministrator“ zugewiesen, mit der alle Berechtigungen zum Durchführen von Verwaltungsaktionen in der Konsole erteilt werden. Sie sollten sicherstellen, dass Benutzer ohne Superadministratorberechtigungen nicht auf das Domänendienstkonto zugreifen können. Weitere Informationen zu den Rollen, die von der Konsole verwendet werden, finden Sie unter Best Practices bezüglich der beiden Rollentypen, die Sie für die Verwendung vonHorizon Cloud-Verwaltungskonsole in Ihrer Horizon Cloud-Umgebung zuweisen.

Domänendienstkonto – Erforderliche Active Directory-Berechtigungen

Das Domänendienstkonto muss über Leseberechtigungen verfügen, um die Active Directory-Konten für alle Active Directory-Organisationseinheiten (OEs) zu suchen, die Sie in den von Horizon Cloud bereitgestellten Desktop-as-a-Service-Vorgängen verwenden, z. B. das Zuweisen von Desktop-VMs zu Ihren Endbenutzern. Das Domänendienstkonto muss Objekte aus Ihrem Active Directory aufzählen können. Das Domänendienstkonto erfordert die folgenden Berechtigungen für alle OEs und Objekte, die Sie mit Horizon Cloud verwenden müssen:

  • Inhalt auflisten
  • Alle Eigenschaften lesen
  • Berechtigungen lesen
  • tokenGroupsGlobalAndUniversal lesen (implizit enthalten in der Berechtigung „Alle Eigenschaften lesen“)
Wichtig: Domänendienstkonten sollten die Standardberechtigung für den schreibgeschützten Lesezugriff erhalten, die in der Regel für Authentifizierte Benutzer in einer Microsoft Active Directory-Bereitstellung gewährt werden. In einer standardmäßigen Bereitstellung von Microsoft Active Directory werden diese Standardeinstellungen in der Regel für Authentifizierte Benutzer erteilt, wodurch ein standardmäßiges Domänenbenutzerkonto normalerweise die Möglichkeit erhält, die erforderliche Enumeration durchzuführen, die Horizon Cloud für das Domänendienstkonto benötigt. Wenn sich die AD-Administratoren Ihrer Organisation jedoch dafür entschieden haben, schreibgeschützte Berechtigungen für reguläre Benutzer zu sperren, müssen Sie diese AD-Administrator bitten, die Standardeinstellungen für Authentifizierte Benutzer für die Domänendienstkonten beizubehalten, die Sie für Horizon Cloud verwenden.

Domänenbeitrittskonto – Erforderliche Eigenschaften

  • Das Domänenbeitrittskonto kann nicht geändert oder gesperrt werden.
  • Der Benutzername des Kontos darf keine Leerzeichen enthalten. Wenn der Name ein Leerzeichen enthält, kommt es zu unerwarteten Ergebnissen in den Systemvorgängen, die auf dieses Konto angewiesen sind.
  • Das Domänenbeitrittskonto benötigt das Attribut sAMAccountName. Das Attribut „sAMAccountName“ darf höchstens 20 Zeichen lang sein und darf keines der folgenden Zeichen enthalten: "/\ []:; | = , + * ? < >
  • Stellen Sie sicher, dass mindestens eines der folgenden Kriterien erfüllt ist:
    • Legen Sie in Ihrem Active Directory für das Domänenbeitrittskonto Läuft nie ab fest.
    • Alternativ können Sie ein zusätzliches Domänenbeitrittskonto konfigurieren, das zu einem anderen Zeitpunkt abläuft, als das erste Domänenbeitrittskonto. Wenn Sie diese Methode auswählen, müssen Sie sicherstellen, dass das zusätzliche Domänenbeitrittskonto die gleichen Anforderungen erfüllt, wie das primäre Domänenbeitrittskonto, das Sie in der Konsole konfigurieren.
    Vorsicht: Wenn das Domänenbeitrittskonto abgelaufen ist und Sie kein funktionierendes zusätzliches Domänenbeitrittskonto konfiguriert haben, schlagen Horizon Cloud-Vorgänge für das Versiegeln von Images und die Bereitstellung von Farm-RDSH-VMs und VDI-Desktop-VMs fehl.

Domänenbeitrittskonto – Erforderliche Active Directory-Berechtigungen

Das Domänenbeitrittskonto wird auf Mandantenebene konfiguriert. Das System verwendet das gleiche Domänenbeitrittskonto, das in der Active Directory-Registrierung für alle zugehörigen Domänenbeitrittsvorgänge mit allen Pods in der Flotte Ihres Mandanten konfiguriert ist.

Das System führt explizite Berechtigungsprüfungen für das Domänenbeitrittskonto innerhalb der OE durch, die Sie im Workflow für die Active Directory-Registrierung (im Textfeld Standard-OE in diesem Workflow) sowie innerhalb der OEs festlegen, die Sie in den Farmen und in den von Ihnen erstellten VDI-Desktop-Zuweisungen angeben, wenn die Textfelder Computer-OE für Farm und VDI-Desktop-Zuweisung von der Standard-OE in der Active Directory-Registrierung abweichen.

Um auch die Fälle abzudecken, in denen Sie möglicherweise eine untergeordnete OE verwendet, empfiehlt es sich als Best Practice, diese erforderlichen Berechtigungen für alle nachfolgenden Objekte der Computer-OE festzulegen.

Wichtig:
  • Einige der in der Liste enthaltenen Active Directory-Berechtigungen werden Konten in der Regel von Active Directory standardmäßig zugewiesen. Wenn Sie jedoch in Ihrem Active Directory die Sicherheitsberechtigung eingeschränkt haben, müssen Sie sicherstellen, dass das Domänenbeitrittskonto diese Berechtigungen für OEs und Objekte besitzt, die Sie mit Horizon Cloud verwenden.
  • Wenn Sie in Microsoft Active Directory eine neue OE erstellen, legt das System möglicherweise automatisch das Attribut Prevent Accidental Deletion fest, das für die neu erstellte OE und alle abgeleiteten Objekte für die Berechtigung „Alle untergeordneten Objekte löschen“ Deny anwendet. Wenn Sie daher dem Domänenbeitrittskonto explizit die Berechtigung „Computerobjekte löschen“ zugewiesen haben, hat Active Directory im Fall einer neu erstellten OE möglicherweise eine Außerkraftsetzung auf die explizit zugewiesene Berechtigung „Computerobjekte löschen“ angewendet. Da durch das Löschen des Flags Versehentliches Löschen verhindern das von Active Directory auf die Berechtigung „Alle untergeordneten Objekte löschen“ angewendete Deny möglicherweise nicht automatisch gelöscht wird, müssen Sie im Fall einer neu hinzugefügten OE das für die Berechtigung zum Löschen aller untergeordneten Objekte in der OE und allen untergeordneten OEs festgelegte Deny möglicherweise prüfen und manuell löschen, bevor Sie das Domänenbeitrittskonto in der Horizon Cloud-Konsole verwenden.
Tipp: Für Pod-Manifeste von 2474.0 und höher wird der Satz der erforderlichen Active Directory-Berechtigungen für die Domänenbeitrittskonten ab dem vorherigen Satz reduziert, um mehr Flexibilität für Mandanten bereitzustellen. Da das Domänenbeitrittskonto jedoch auf Mandantenebene konfiguriert ist, verwendet das System die gleichen Domänenbeitrittskonten für Domänenbeitrittsvorgänge mit allen Pods in der Flotte Ihres Mandanten. Wenn Ihre Flotte jedoch Pods mit Manifesten vor 2474.0 enthält, müssen Sie sicherstellen, dass Ihr Domänenbeitrittskonto über den vorherigen Satz von Berechtigungen verfügt, die für diese Pods erforderlich sind. Wenn alle Horizon-Pods in Microsoft Azure auf das Pod-Manifest 2474.0 oder höher aktualisiert wurden, können Sie den neueren, reduzierten Satz an Active Directory-Berechtigungen für Ihre Domänenbeitrittskonten übernehmen.
Tabelle 1. Wenn auf allen Horizon-Pods Ihrer Flotte in Microsoft Azure das Manifest 2474.0 oder höher aufgeführt wird
Zugriff Gilt für
Alle Eigenschaften lesen Nur dieses Objekt
Computerobjekte erstellen Dieses Objekt und alle untergeordneten Objekte
Computerobjekte löschen Dieses Objekt und alle untergeordneten Objekte
Alle Eigenschaften schreiben Untergeordnete Computerobjekte
Kennwort zurücksetzen Untergeordnete Computerobjekte
Tabelle 2. Wenn Ihre Flotte über Horizon-Pods in Microsoft Azure verfügt, auf denen ein Manifest vor 2474.0 ausgeführt wird
Zugriff Gilt für
Inhalt auflisten Dieses Objekt und alle untergeordneten Objekte
Alle Eigenschaften lesen Dieses Objekt und alle untergeordneten Objekte
Computerobjekte erstellen Dieses Objekt und alle untergeordneten Objekte
Computerobjekte löschen Dieses Objekt und alle untergeordneten Objekte
Alle Eigenschaften schreiben Alle untergeordneten Objekte
Berechtigungen lesen Dieses Objekt und alle untergeordneten Objekte
Kennwort zurücksetzen Untergeordnete Computerobjekte