In diesem Dokumentationsthema werden die Best Practices für die beiden Rollentypen beschrieben, die Sie den Benutzern zuweisen müssen, wenn sie sich bei der Horizon Universal Console anmelden und in Ihrer Horizon Cloud-Umgebung arbeiten sollen. Ein Rollentyp wird verwendet, um verschiedene Teile der Horizon Universal Console-Benutzeroberfläche selbst zu aktivieren oder zu deaktivieren. Der andere Rollentyp wird verwendet, um zu bestimmen, welche Aktionen von Personen aufgerufen werden können, denen die Rolle zugewiesen ist. Sie müssen sicherstellen, dass die finale Kombination der beiden Rollen, die Sie einer bestimmten Einzelperson zuweisen, das gewünschte Ergebnis für diese Person widerspiegelt.

Wichtig: Da ein Rollentyp regelt, was der Benutzer in der Konsole sehen kann und der andere Rollentyp den Aufruf von Aktionen regelt, müssen Sie sicherstellen, dass die Gesamtkombination der beiden Rollen einer bestimmten Einzelperson die gewünschten Ergebnisse für die jeweilige Person widerspiegelt. Die Best Practice-Kombinationen werden in den folgenden Abschnitten beschrieben. Wenn Sie diese Best Practices nicht befolgen, können Widersprüche auftreten. Wenn z. B. die zugewiesenen Rollen nicht gemäß der hier beschriebenen Anleitung übereinstimmen, kann sich eine Einzelperson möglicherweise bei der Konsole anmelden und die Aktionen, die sie durchführen soll, nicht ausführen oder die Einzelperson kann sich anmelden und Aktionen ausführen, die sie nicht ausführen soll. Aus diesem Grund ist es wichtig, dass Sie sicherstellen, dass Sie die Rolle der Einzelperson im Bereich My VMware-Konten der Seite Allgemeine Einstellungen der Rolle zuweisen, die der Active Directory-Gruppe dieser Einzelperson auf der Seite Rollen und Berechtigungen zugewiesen ist.

In den folgenden Abschnitten werden die beiden Rollentypen und die Best Practice-Kombinationen beschrieben, die basierend auf den Standardszenarien in typischen Organisationen verwendet werden können.

Achtung: Wie in Profil der cloudbasierten Horizon Universal Console beschrieben, ist die Konsole dynamisch und spiegelt Funktionen wider, die für die zeitnahe Konfiguration Ihrer Mandantenumgebung geeignet sind. Der Zugriff auf die in dieser Dokumentation beschriebenen Funktionen kann von folgenden Faktoren abhängen:
  • Ob die Funktion vom Systemcode abhängt, der nur im aktuellen Horizon Cloud-Podmanifest, in der Horizon Pod-Version oder in der Horizon Cloud Connector-Version verfügbar ist.
  • Ob der Zugriff auf die Funktion in begrenzter Verfügbarkeit möglich ist, wie in den Versionshinweisen bei der Einführung der Funktion angegeben.
  • Ob die Funktion bestimmte Lizenzen oder SKUs erfordert.

Wenn eine Funktion in dieser Dokumentation erwähnt wird und diese Funktion in der Konsole nicht angezeigt wird, überprüfen Sie zuerst in den Versionshinweisen, ob der Zugriff auf die Funktion eingeschränkt ist und wie Sie die Aktivierung in Ihrem Mandanten anfordern können. Wenn Sie der Meinung sind, dass Sie berechtigt sind, eine in dieser Dokumentation beschriebene Funktion zu verwenden, und diese nicht in der Konsole angezeigt wird, können Sie alternativ Ihren VMware Horizon Cloud Service-Vertreter fragen oder, wenn Sie keinen Vertreter haben, eine Service-Anfrage (Service Request, SR) an das Horizon Cloud Service-Team stellen, wie in Support-Anfrage in Customer Connect (VMware KB 2006985) beschrieben.

Rollen mit Aktivierung oder Deaktivierung der verschiedenen Teile der Konsolenbenutzeroberfläche für Personen in der Active Directory-Gruppe mit dieser zugewiesenen Rolle

Diese Rollen sind im System vordefiniert und beziehen sich auf Ihre Active Directory-Gruppen. Wenn sich eine Einzelperson für Ihre Horizon Cloud-Umgebung authentifiziert, erkennt die Konsole, in welcher Active Directory (AD)-Gruppe sich das Konto dieser Einzelperson befindet. Die Konsole erkennt außerdem, welche dieser Rollen dieser AD-Gruppe auf der Seite „Rollen und Berechtigungen“ der Konsole zugewiesen ist. Wenn die Person dann durch die Seiten, Registerkarten und Fenster der Konsolenbenutzeroberfläche navigiert, werden diese Elemente gemäß der zugewiesenen Rolle der AD-Gruppe der Person als aktiviert oder deaktiviert angezeigt.

Wichtig: Die Tatsache, dass diese Rollen nur Gruppen und keinen einzelnen AD-Benutzerkonten zugewiesen werden können, bedeutet auch, dass Sie es vermeiden müssen, derselben AD-Domänengruppe zwei dieser Rollen zuzuweisen. Wenn Sie zwei dieser Rollen derselben AD-Gruppe zuweisen, sich eine Einzelperson dieser Gruppe anmeldet und die Konsole feststellt, dass beide Rollen der Gruppe dieser Person zugewiesen sind, werden den Einzelpersonen beim Navigieren durch die Seiten der Benutzeroberfläche möglicherweise deaktivierte Elemente angezeigt, da eine der beiden Rollen den Zugriff auf diese Elemente verhindert.

Sie wenden jede dieser Rollen auf der Ebene einer AD-Gruppe an. Da sie auf Gruppenebene anstelle einer einzelnen Ebene angewendet werden, erhalten alle Einzelpersonen in derselben AD-Gruppe die Rolle, die Sie dieser Active Directory-Gruppe auf der Seite „Rollen und Berechtigungen“ der Konsole zuweisen. Sie legen fest, welche Einzelpersonen sich in Ihren AD-Gruppen in Ihrer AD-Umgebung befinden. Wenn Sie also Einzelpersonen in Ihrer AD-Umgebung von einer AD-Gruppe in eine andere verschieben, müssen Sie sicherstellen, dass sie in eine Gruppe verschoben werden, die eine der Rollen aufweist, die weiterhin mit ihrer anderen zugewiesenen Rolle konform ist (die dem My VMware-Konto zugewiesen ist). Wenn Sie eine Einzelperson von einer AD-Gruppe in eine andere verschieben, müssen Sie überprüfen, ob der andere Rollentyp (derjenige, der dem My VMware-Konto des jeweiligen Benutzers zugewiesen ist) angepasst werden muss, um der Rolle dieses Rollentyps zu entsprechen, die der neuen AD-Gruppe der Einzelperson zugewiesen ist.

Ein Beispiel für eine dieser Rollen ist die Rolle Help Desk Read Only Administrator. Wenn einer AD-Gruppe diese Rolle auf der Seite „Rollen und Berechtigungen“ zugewiesen wird, ermöglicht die Konsole den Einzelpersonen in dieser Gruppe zwar das Navigieren zu den Benutzerkarten für Endbenutzer und das Anzeigen der Informationen, jedoch nicht das Ausführen von Vorgängen auf den Desktops.

Rollen zur Bestimmung der Aktionen, die von Personen aufgerufen werden können, deren My VMware-Konto diese Rolle zugewiesen ist

Wie bei dem anderen Rollentyp auch sind diese Rollen im System vordefiniert. Diese Rollen beziehen sich auf die My VMware Konten, die auf der Seite „Allgemeine Einstellungen“ im Bereich My VMware-Konten konfiguriert sind. Wenn sich eine Einzelperson für Ihre Horizon Cloud-Umgebung authentifiziert, erkennt die Konsole, welche Rolle dem My VMware-Konto zugewiesen ist, das zur Authentifizierung der angemeldeten Sitzung verwendet wurde. Wenn die Person dann versucht, eine Aktion in der Konsole aufzurufen, lässt das System den API-Aufruf durch oder es verhindert den API-Aufruf. Dies ist von der Rolle abhängig, die dem My VMware-Konto der angemeldeten Person auf der Seite „Allgemeine Einstellungen“ zugewiesen ist.

Folglich kann diese zugewiesene Rolle nach der anfänglichen Authentifizierung für die Konsole häufig zusammen mit dem anderen Typ der zugewiesenen Rolle verwendet werden:

  1. Die Person navigiert durch die Seiten, Registerkarten und Fenster der Konsolenbenutzeroberfläche und die Elemente der Benutzeroberfläche werden je nach zugewiesener Rolle der AD-Gruppe der Person als aktiviert oder deaktiviert angezeigt.
  2. Wenn diese Person auf eine Schaltfläche klickt, die einen API-Aufruf zum Ausführen einer Aktion auslöst und die ihrem My VMware-Konto zugewiesene Rolle diese Aktion nicht zulässt, wird der API-Aufruf nicht durchgelassen und die Aktion wird nicht abgeschlossen.
Wichtig: Da diese Rolle in der Konsole zusammen mit der Rolle verwendet wird, die der AD-Gruppe einer Person zugewiesen ist (wobei letztere bestimmt, welche Konsolenelemente aktiv sind, und erstere festlegt, welche Aktionen beim Klicken auf ein Element ausgeführt werden dürfen), müssen Sie sicherstellen, dass die Gesamtkombination der beiden Rollen, die eine bestimmte Einzelperson hat, die gewünschten Ergebnisse für diese Einzelperson widerspiegelt. Andernfalls können widersprüchliche Ergebnisse eintreten. Wenn Sie eine Einzelperson von einer AD-Gruppe in eine andere verschieben, bestätigen Sie, dass die Rolle in ihrem My VMware-Konto auf die Rolle in ihrer neuen AD-Gruppe ausgerichtet ist, und passen Sie sie nach Bedarf an. Die Best Practice-Standardkombinationen werden in den folgenden Abschnitten beschrieben.

Die fünf Best Practice-Standardkombinationen

Da ein widersprüchliches Verhalten auftreten kann, wenn die beiden Rollen einer Person nicht gemäß der nachfolgenden Tabelle ausgerichtet sind, wird empfohlen, die Rollen zuzuweisen, die den Einzelpersonen Ihrer Organisation gemäß der folgenden Tabelle erteilt werden. Das System hindert Sie nicht daran, einer AD-Gruppe eine Rolle zuzuweisen, die toleranter ist als die Rolle, die den My VMware-Konten der Einzelpersonen in dieser Gruppe zugewiesen ist. Wenn eine Einzelperson zu mehreren AD-Gruppen gehört, stellen Sie sicher, dass die Rollen, die diesen Gruppen auf der Seite „Rollen und Berechtigungen“ zugewiesen sind, auch aufeinander und mit der Rolle für das My VMware-Konto der Einzelbenutzer ausgerichtet sind.

Rolle für das My VMware-Konto der Person auf der Seite „Allgemeine Einstellungen“ Rolle für die Active Directory-Gruppe der Person auf der Seite „Rollen und Berechtigungen“ Beschreibung
Kundenadministrator Superadministrator Vollständiger Zugriff zum Anzeigen aller Bereiche der Konsole und zum Ausführen aller Aktionen in der Konsole.
Kundenzuweisungsadministrator Zuweisungsadministrator Möglichkeit, alle Bereiche der Konsole anzuzeigen und Aktionen im Zusammenhang mit der Änderung und Verwaltung von Endbenutzerzuweisungen und Farmen durchzuführen.
Kundenadministrator schreibgeschützt Demo-Administrator Möglichkeit, alle Bereiche der Konsole anzuzeigen, Einstellungen anzuzeigen und Optionen auszuwählen, um zusätzliche Auswahlmöglichkeiten anzuzeigen und ohne die Möglichkeit, Aktionen aufzurufen, die die Umgebung ändern, z. B. das Löschen von Elementen. Ein Beispiel für die Verwendung dieser Kombination besteht darin, dass sich Personen in Ihrer Organisation anmelden und die Funktionen des Systems für andere Benutzer demonstrieren können, wobei Änderungen am System vermieden werden.
Kunden-Helpdesk Helpdesk-Administrator Zugriff zum Anzeigen der Helpdesk-bezogenen Bereiche der Konsole und zum Ausführen aller Helpdesk-bezogenen Aktionen, die von der Konsole bereitgestellt werden. Der Zweck dieser Kombination besteht darin, dass Personen mit den Benutzerkartenfunktionen arbeiten, um den Status der Endbenutzersitzungen anzuzeigen und Fehlerbehebungsvorgänge für die Sitzungen durchzuführen.
Kunden-Nur-Lese-Helpdesk Nur-Lese-Helpdesk-Administrator Zugriff zum Anzeigen der Helpdesk-bezogenen Bereiche der Konsole und des Status der Endbenutzersitzungen in der Benutzerkarte, während Aufrufe der Helpdesk-bezogenen Aktionen verhindert werden.

Wenn Sie eine Person auf den schreibgeschützten Anzeigezugriff auf die Konsole für alle Konsolenbereiche beschränken möchten

Wenn Sie möchten, dass eine Einzelperson alle Benutzerschnittstellenseiten der Konsole durchsuchen, Dialogfelder öffnen und Berichte anzeigen kann, und Sie verhindern möchten, dass sie Aktionen aufruft, durch die Änderungen in Ihrer Mandantenumgebung erfolgen, müssen Sie sicherstellen, dass die folgenden Bedingungen erfüllt sind:

  • Weisen Sie auf der Seite „Allgemeine Einstellungen“ im Bereich My VMware-Konten die Rolle Customer Administrator Read-Only dem My VMware-Konto der betreffenden Person zu. Wenn unter dem Konto dieser Einzelperson eine andere Rolle aufgelistet wird, können Sie ihre Zeile aus dem Bereich My VMware-Konten entfernen und wieder hinzufügen. Geben Sie dabei die Rolle Customer Administrator Read-Only an.
  • Weisen Sie auf der Seite „Rollen und Berechtigungen“ die Rolle Demo Administrator der Active Directory-Gruppe dieser Einzelperson zu.

Wenn beide Bedingungen erfüllt sind, kann sich die Einzelperson bei der Konsole anmelden, zu allen Seiten der Konsole navigieren, die Seiten durchsuchen, Dialogfelder öffnen und Berichte anzeigen. Zudem kann verhindert werden, dass sie Aktionen aufruft, durch die Änderungen an der Umgebung vorgenommen werden.

Hinweis: Da die Seite „Rollen und Berechtigungen“ auf Ebene der AD-Gruppe und nicht auf Ebene eines Einzelkontos agiert, müssen Sie sicherstellen, dass die AD-Gruppe gemäß den Anforderungen Ihrer Organisation über die entsprechenden Einzelkonten verfügt.

Wenn Sie eine Person auf den Zugriff auf die Helpdesk-Funktionen der Konsole beschränken möchten und sie auch Aktionen in der Benutzerkarte ausführen können soll

Wenn Sie möchten, dass sich eine Einzelperson bei der Konsole anmelden und nur auf die Helpdesk-bezogenen Funktionen und nicht auf alle Bereiche der Konsole zugreifen kann, während sie auch Helpdesk-bezogene Aktionen ausführen können soll, müssen Sie sicherstellen, dass die folgenden Bedingungen erfüllt sind:

  • Weisen Sie auf der Seite „Allgemeine Einstellungen“ im Bereich My VMware-Konten die Rolle Customer Helpdesk dem My VMware-Konto der betreffenden Person zu. Wenn unter dem Konto dieser Einzelperson eine andere Rolle aufgelistet wird, können Sie ihre Zeile aus dem Bereich My VMware-Konten entfernen und wieder hinzufügen. Geben Sie dabei die Rolle Customer Helpdesk an.
  • Weisen Sie auf der Seite „Rollen und Berechtigungen“ die Rolle Help Desk Administrator der Active Directory-Gruppe dieser Einzelperson zu.

Wenn beide Bedingungen erfüllt sind, kann sich die Einzelperson bei der Konsole anmelden, Helpdesk-bezogene Funktionen anzeigen und Helpdesk-bezogene Aktionen ausführen.

Hinweis: Da die Seite „Rollen und Berechtigungen“ auf Ebene der AD-Gruppe und nicht auf Ebene eines Einzelkontos agiert, müssen Sie sicherstellen, dass die AD-Gruppe gemäß den Anforderungen Ihrer Organisation über die entsprechenden Einzelkonten verfügt.

Wenn Sie eine Person auf den schreibgeschützten Zugriff für die Helpdesk-Funktionen der Konsole beschränken möchten

Wenn Sie möchten, dass sich eine Einzelperson bei der Konsole anmelden, auf schreibgeschützter Basis nur auf die Helpdesk-bezogenen Funktionen zugreifen und keine Helpdesk-bezogene Aktionen ausführen kann, müssen Sie sicherstellen, dass die folgenden Bedingungen erfüllt sind:

  • Weisen Sie auf der Seite „Allgemeine Einstellungen“ im Bereich My VMware-Konten die Rolle Customer Helpdesk Read-Only dem My VMware-Konto der betreffenden Person zu. Wenn unter dem Konto dieser Einzelperson eine andere Rolle aufgelistet wird, können Sie ihre Zeile aus dem Bereich My VMware-Konten entfernen und wieder hinzufügen. Geben Sie dabei die Rolle Customer Helpdesk Read-Only an.
  • Weisen Sie auf der Seite „Rollen und Berechtigungen“ die Rolle Help Desk Read Only Administrator der Active Directory-Gruppe dieser Einzelperson zu.

Wenn beide Bedingungen erfüllt sind, kann sich die Einzelperson bei der Konsole anmelden und Helpdesk-bezogene Funktionen auf schreibgeschützter Basis ausführen.

Hinweis: Da die Seite „Rollen und Berechtigungen“ auf Ebene der AD-Gruppe und nicht auf Ebene eines Einzelkontos agiert, müssen Sie sicherstellen, dass die AD-Gruppe gemäß den Anforderungen Ihrer Organisation über die entsprechenden Einzelkonten verfügt.

Wenn Sie einer Person den Zugriff auf die zuweisungs- und farmbezogenen Funktionen der Konsole beschränken möchten:

Wenn Sie möchten, dass eine bestimmte Person Zugriff auf die Konsole hat, um Vorgänge im Zusammenhang mit der Verwaltung von Endbenutzerzuweisungen und Farmen durchzuführen, und nur Lesezugriff auf alle anderen Bereiche der Konsole haben soll, stellen Sie sicher, dass beide der folgenden Bedingungen erfüllt sind:

  • Weisen Sie auf der Seite „Allgemeine Einstellungen“ im Bereich My VMware-Konten die Rolle Customer Assignment Administrator dem My VMware-Konto der betreffenden Person zu. Wenn unter dem Konto dieser Einzelperson eine andere Rolle aufgelistet wird, können Sie ihre Zeile aus dem Bereich My VMware-Konten entfernen und wieder hinzufügen. Geben Sie dabei die Rolle Customer Assignment Administrator an.
  • Weisen Sie auf der Seite „Rollen und Berechtigungen“ die Rolle Assignment Administrator der Active Directory-Gruppe dieser Einzelperson zu.

Wenn diese beiden Bedingungen erfüllt sind, kann sich die Einzelperson bei der Konsole anmelden, zu allen Seiten der Konsole navigieren und diese anzeigen sowie Aktionen zum Erstellen, Ändern oder Löschen von Endbenutzerzuweisungen und Farmen aufrufen. Die Einzelperson kann auch Vorgänge im Zusammenhang mit der Verwaltung von Zuweisungen und Farmen durchführen, z. B. VM-Konfiguration, Energieverwaltung und Konfiguration von Remoteanwendungen.

Hinweis: Da die Seite „Rollen und Berechtigungen“ auf Ebene der AD-Gruppe und nicht auf Ebene eines Einzelkontos agiert, müssen Sie sicherstellen, dass die AD-Gruppe gemäß den Anforderungen Ihrer Organisation über die entsprechenden Einzelkonten verfügt.

Wenn eine Person vollständigen Zugriff auf die Konsole für alle Bereiche und Aktionen der Konsole haben soll

Wenn Sie möchten, dass eine Einzelperson vollständigen Zugriff auf die Konsole hat, um alle zugehörigen Bereiche anzuzeigen und Aktionen auszuführen, durch die Änderungen an Ihrer Mandantenumgebung vorgenommen werden, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

  • Weisen Sie auf der Seite „Allgemeine Einstellungen“ im Bereich My VMware-Konten die Rolle Customer Administrator dem My VMware-Konto der betreffenden Person zu. Wenn unter dem Konto dieser Einzelperson eine andere Rolle aufgelistet wird, können Sie ihre Zeile aus dem Bereich My VMware-Konten entfernen und wieder hinzufügen. Geben Sie dabei die Rolle Customer Administrator an.
  • Weisen Sie auf der Seite „Rollen und Berechtigungen“ die Rolle Super Administrator der Active Directory-Gruppe dieser Einzelperson zu.

Wenn beide Bedingungen erfüllt sind, kann sich die Einzelperson bei der Konsole anmelden, zu allen Seiten der Konsole navigieren und Aktionen aufrufen, durch die Änderungen an der Umgebung vorgenommen werden.

Hinweis: Da die Seite „Rollen und Berechtigungen“ auf Ebene der AD-Gruppe und nicht auf Ebene eines Einzelkontos agiert, müssen Sie sicherstellen, dass die AD-Gruppe gemäß den Anforderungen Ihrer Organisation über die entsprechenden Einzelkonten verfügt.