Für Horizon Cloud müssen in Ihrer Active Directory-Domäne zwei Konten als Dienstkonten verwendet werden. In diesem Beitrag werden die Anforderungen beschrieben, die diese beiden Konten erfüllen müssen.
Für Horizon Cloud müssen Sie zwei Active Directory-Konten für die Verwendung als Dienstkonten festlegen.
- Ein Domänendienstkonto, das zum Ausführen von Suchvorgängen in Ihrer Active Directory-Domäne verwendet wird.
- Ein Domänenbeitrittskonto, das für den Beitritt von Computerkonten zur Domäne und für Sysprep-Operationen verwendet wird.
Die Anmeldedaten für diese Konten für Horizon Cloud geben Sie in der Verwaltungskonsole an.
Sie müssen sicherstellen, dass die Active Directory-Konten, die Sie für diese Dienstkonten angeben, die folgenden für den Betrieb von Horizon Cloud erforderlichen Anforderungen erfüllen.
Anforderungen für das Domänendienstkonto
- Das Domänendienstkonto kann nicht ablaufen, geändert oder gesperrt werden. Sie müssen diese Kontokonfigurationstyp verwenden, da das primäre Domänendienstkonto als Dienstkonto zur Abfrage von Active Directory verwendet wird. Wenn aus irgendeinem Grund nicht auf das primäre Domänendienstkonto zugegriffen werden kann, wird das zusätzliche Domänendienstkonto verwendet. Wenn das primäre und zusätzliche Domänendienstkonto abgelaufen oder nicht mehr zugänglich ist, können Sie sich nicht bei der Verwaltungskonsole anmelden und die Konfiguration aktualisieren.
Wichtig: Wenn das primäre und zusätzliche Domänendienstkonto abgelaufen oder nicht mehr zugänglich sind, können Sie sich nicht mehr bei der Verwaltungskonsole anmelden und die Konfiguration durch funktionierende Angaben zum Domänendienstkonto aktualisieren. Wenn Sie für das primäre Domänendienstkonto und das zusätzliche Domänendienstkonto nicht Läuft nie ab festlegen, sollten Sie für beide unterschiedliche Ablaufzeiten angeben. Sie müssen dann auf die Ablaufzeit achten und die Daten Ihres Horizon Cloud-Domänendienstkontos aktualisieren, bevor die Ablaufzeit erreicht ist.
- Das Domänendienstkonto benötigt das Attribut sAMAccountName. Das Attribut „sAMAccountName“ darf höchstens 20 Zeichen lang sein und darf keines der folgenden Zeichen enthalten: "/\ []:; | = , + * ? < >
- Das Domänendienstkonto muss mindestens über Leseberechtigungen verfügen, um die Active Directory-Konten für alle Active Directory-Organisationseinheiten (OEs) zu suchen, die Sie in den von Horizon Cloud bereitgestellten Desktop-as-a-Service-Vorgängen verwenden, z. B. das Zuweisen von Desktop-VMs zu Ihren Endbenutzern. Das Domänendienstkonto muss Objekte aus Ihrem Active Directory aufzählen können.
Wichtig:
- Die Standardeinstellungen in Active Directory bieten einem standardmäßigen Domänenbenutzerkonto die Möglichkeit, diese Aufzählung durchzuführen. Wenn Sie in Ihrem Active Directory die Sicherheitsberechtigung jedoch eingeschränkt haben, müssen Sie sicherstellen, dass das Domänendienstkonto über Leseberechtigungen für alle OEs und Objekte verfügt, die Sie mit Horizon Cloud verwenden möchten.
- Dem Domänendienstkonto wird immer die Rolle „Superadministrator“ zugewiesen, mit der alle Berechtigungen zum Durchführen von Verwaltungsaktionen in der Verwaltungskonsole erteilt werden. Sie sollten sicherstellen, dass Benutzer ohne Superadministratorberechtigungen nicht auf das Domänendienstkonto zugreifen können.
Anforderungen für das Domänenbeitrittskonto
- Das Domänenbeitrittskonto kann nicht geändert oder gesperrt werden.
- Stellen Sie sicher, dass mindestens eines der folgenden Kriterien erfüllt ist:
- Legen Sie in Ihrem Active Directory für das Domänenbeitrittskonto Läuft nie ab fest.
- Alternativ können Sie ein zusätzliches Domänenbeitrittskonto konfigurieren, das zu einem anderen Zeitpunkt abläuft, als das erste Domänenbeitrittskonto. Wenn Sie diese Methode auswählen, müssen Sie sicherstellen, dass das zusätzliche Domänenbeitrittskonto die gleichen Anforderungen erfüllt, wie das primäre Domänenbeitrittskonto, das Sie in der Verwaltungskonsole konfigurieren.
Vorsicht: Wenn das Domänenbeitrittskonto abgelaufen ist und Sie kein funktionierendes zusätzliches Domänenbeitrittskonto konfiguriert haben, schlagen Horizon Cloud-Vorgänge für das Versiegeln von Images und die Bereitstellung von Farm-RDSH-VMs und VDI-Desktop-VMs fehl. - Das Domänenbeitrittskonto benötigt das Attribut sAMAccountName. Das Attribut „sAMAccountName“ darf höchstens 20 Zeichen lang sein und darf keines der folgenden Zeichen enthalten: "/\ []:; | = , + * ? < >
- Das Domänenbeitrittskonto erfordert die in der folgenden Liste aufgeführten Active Directory-Berechtigungen.
Wichtig: Einige der in der Liste enthaltenen Active Directory-Berechtigungen werden Konten in der Regel von Active Directory standardmäßig zugewiesen. Wenn Sie jedoch in Ihrem Active Directory die Sicherheitsberechtigung eingeschränkt haben, müssen Sie sicherstellen, dass das Domänenbeitrittskonto diese Berechtigungen für OEs und Objekte besitzt, die Sie mit Horizon Cloud verwenden.
Das System führt explizite Berechtigungsprüfungen für das Domänenbeitrittskonto innerhalb der OE durch, die Sie im Workflow für die Active Directory-Registrierung (im Textfeld Standard-OE in diesem Workflow) sowie innerhalb der OEs festlegen, die Sie in den Farmen und in den von Ihnen erstellten VDI-Desktop-Zuweisungen angeben, wenn die Textfelder Computer-OE für Farm und VDI-Desktop-Zuweisung von der Standard-OE in der Active Directory-Registrierung abweichen.
Um auch die Fälle abzudecken, in denen Sie möglicherweise eine untergeordnete OE verwendet, empfiehlt es sich als Best Practice, diese Berechtigungen für alle nachfolgenden Objekte der Computer-OE festzulegen. Die für das Domänenbeitrittskonto erforderlichen AD-Berechtigungen werden in der folgenden Tabelle dargestellt.
Zugriff Gilt für Inhalt auflisten Dieses Objekt und alle untergeordneten Objekte Alle Eigenschaften lesen Dieses Objekt und alle untergeordneten Objekte Alle Eigenschaften schreiben Alle untergeordneten Objekte Berechtigungen lesen Dieses Objekt und alle untergeordneten Objekte Kennwort zurücksetzen Untergeordnete Computerobjekte Computerobjekte erstellen Dieses Objekt und alle untergeordneten Objekte Computerobjekte löschen Dieses Objekt und alle untergeordneten Objekte
Sie können die gesamte Kontrolle festlegen anstatt alle Berechtigungen separat festzulegen. Es wird jedoch empfohlen, die Berechtigungen separat festzulegen.
- Inhalt auflisten
- Alle Eigenschaften lesen
- Alle Eigenschaften schreiben
- Berechtigungen lesen
- Kennwort zurücksetzen
- Computerobjekte erstellen
- Computerobjekte löschen