Für Horizon Cloud müssen in Ihrer Active Directory-Domäne zwei Konten als Dienstkonten verwendet werden. In diesem Beitrag werden die Anforderungen beschrieben, die diese beiden Konten erfüllen müssen.

Für Horizon Cloud müssen Sie zwei Active Directory-Konten für die Verwendung als Dienstkonten festlegen.

  • Ein Domänendienstkonto, das zum Ausführen von Suchvorgängen in Ihrer Active Directory-Domäne verwendet wird.
  • Ein Domänenbeitrittskonto, das für den Beitritt von Computerkonten zur Domäne und für Sysprep-Operationen verwendet wird.
    Hinweis: Für Pods in Microsoft Azure verwendet das System dieses Domänenbeitrittskonto in Vorgängen, die das Verknüpfen von virtuellen Maschinen mit der Domäne erfordern. Dies ist beispielsweise beim Importieren eines Images vom Microsoft Azure Marketplace, beim Erstellen von Farm-RDSH-Instanzen, von VDI-Desktop-Instanzen usw. der Fall.

Die Anmeldedaten für diese Konten für Horizon Cloud geben Sie in der cloudbasierten Verwaltungskonsole an.

Sie müssen sicherstellen, dass die Active Directory-Konten, die Sie für diese Dienstkonten angeben, die folgenden für den Betrieb von Horizon Cloud erforderlichen Anforderungen erfüllen.

Wichtig: Sie müssen sicherstellen, dass Ihr Domänendienst- und Ihr Domänenbeitrittskonto weiterhin über die Berechtigungen verfügen, die hier für alle OEs und Objekte beschrieben sind, die Sie mit dem System verwenden oder voraussichtlich verwenden werden. Horizon Cloud kann die Active Directory-Gruppen, die Sie möglicherweise in der Umgebung verwenden möchten, nicht vorab auffüllen oder vorhersehen. Sie müssen Horizon Cloud über die Konsole mit dem Domänendienstkonto und dem Domänenbeitrittskonto konfigurieren.

Anforderungen für das Domänendienstkonto

  • Das Domänendienstkonto kann nicht ablaufen, geändert oder gesperrt werden. Sie müssen diese Kontokonfigurationstyp verwenden, da das primäre Domänendienstkonto als Dienstkonto zur Abfrage von Active Directory verwendet wird. Wenn aus irgendeinem Grund nicht auf das primäre Domänendienstkonto zugegriffen werden kann, wird das zusätzliche Domänendienstkonto verwendet. Wenn das primäre und zusätzliche Domänendienstkonto abgelaufen oder nicht mehr zugänglich ist, können Sie sich nicht bei der cloudbasierten Konsole anmelden und die Konfiguration aktualisieren.
    Wichtig: Wenn das primäre und zusätzliche Domänendienstkonto abgelaufen oder nicht mehr zugänglich sind, können Sie sich nicht bei der Konsole anmelden und die Konfiguration durch funktionierende Angaben zum Domänendienstkonto aktualisieren. Wenn Sie für das primäre Domänendienstkonto und das zusätzliche Domänendienstkonto nicht Läuft nie ab festlegen, sollten Sie für beide unterschiedliche Ablaufzeiten angeben. Sie müssen dann auf die Ablaufzeit achten und die Daten Ihres Horizon Cloud-Domänendienstkontos aktualisieren, bevor die Ablaufzeit erreicht ist.
  • Das Domänendienstkonto benötigt das Attribut sAMAccountName. Das Attribut „sAMAccountName“ darf höchstens 20 Zeichen lang sein und darf keines der folgenden Zeichen enthalten: "/\ []:; | = , + * ? < >
  • Das Domänendienstkonto muss über Leseberechtigungen verfügen, um die Active Directory-Konten für alle Active Directory-Organisationseinheiten (OEs) zu suchen, die Sie in den von Horizon Cloud bereitgestellten Desktop-as-a-Service-Vorgängen verwenden, z. B. das Zuweisen von Desktop-VMs zu Ihren Endbenutzern. Das Domänendienstkonto muss Objekte aus Ihrem Active Directory aufzählen können. Das Domänendienstkonto erfordert die folgenden Berechtigungen für alle OEs und Objekte, die Sie mit Horizon Cloud verwenden müssen:
    • Inhalt auflisten
    • Alle Eigenschaften lesen
    • Berechtigungen lesen
    • tokenGroupsGlobalAndUniversal lesen (implizit enthalten in der Berechtigung „Alle Eigenschaften lesen“)
    Wichtig: Domänendienstkonten sollten die Standardberechtigung für den schreibgeschützten Lesezugriff erhalten, die in der Regel für Authentifizierte Benutzer in einer Microsoft Active Directory-Bereitstellung gewährt werden. In einer standardmäßigen Bereitstellung von Microsoft Active Directory werden diese Standardeinstellungen in der Regel für Authentifizierte Benutzer erteilt, wodurch ein standardmäßiges Domänenbenutzerkonto normalerweise die Möglichkeit erhält, die erforderliche Enumeration durchzuführen, die Horizon Cloud für das Domänendienstkonto benötigt. Wenn sich die AD-Administratoren Ihrer Organisation jedoch dafür entschieden haben, schreibgeschützte Berechtigungen für reguläre Benutzer zu sperren, müssen Sie diese AD-Administrator bitten, die Standardeinstellungen für Authentifizierte Benutzer für die Domänendienstkonten beizubehalten, die Sie für Horizon Cloud verwenden.
  • Dem Domänendienstkonto wird immer die Rolle „Superadministrator“ zugewiesen, mit der alle Berechtigungen zum Durchführen von Verwaltungsaktionen in der Konsole erteilt werden. Sie sollten sicherstellen, dass Benutzer ohne Superadministratorberechtigungen nicht auf das Domänendienstkonto zugreifen können.

Anforderungen für das Domänenbeitrittskonto

  • Das Domänenbeitrittskonto kann nicht geändert oder gesperrt werden.
  • Stellen Sie sicher, dass mindestens eines der folgenden Kriterien erfüllt ist:
    • Legen Sie in Ihrem Active Directory für das Domänenbeitrittskonto Läuft nie ab fest.
    • Alternativ können Sie ein zusätzliches Domänenbeitrittskonto konfigurieren, das zu einem anderen Zeitpunkt abläuft, als das erste Domänenbeitrittskonto. Wenn Sie diese Methode auswählen, müssen Sie sicherstellen, dass das zusätzliche Domänenbeitrittskonto die gleichen Anforderungen erfüllt, wie das primäre Domänenbeitrittskonto, das Sie in der Konsole konfigurieren.
    Vorsicht: Wenn das Domänenbeitrittskonto abgelaufen ist und Sie kein funktionierendes zusätzliches Domänenbeitrittskonto konfiguriert haben, schlagen Horizon Cloud-Vorgänge für das Versiegeln von Images und die Bereitstellung von Farm-RDSH-VMs und VDI-Desktop-VMs fehl.
  • Das Domänenbeitrittskonto benötigt das Attribut sAMAccountName. Das Attribut „sAMAccountName“ darf höchstens 20 Zeichen lang sein und darf keines der folgenden Zeichen enthalten: "/\ []:; | = , + * ? < >
  • Benutzernamen für das Domänenbeitrittskonto dürfen keine Leerzeichen enthalten.
  • Das Domänenbeitrittskonto erfordert die in der folgenden Liste aufgeführten Active Directory-Berechtigungen.
    Wichtig:
    • Einige der in der Liste enthaltenen Active Directory-Berechtigungen werden Konten in der Regel von Active Directory standardmäßig zugewiesen. Wenn Sie jedoch in Ihrem Active Directory die Sicherheitsberechtigung eingeschränkt haben, müssen Sie sicherstellen, dass das Domänenbeitrittskonto diese Berechtigungen für OEs und Objekte besitzt, die Sie mit Horizon Cloud verwenden.
    • Wenn Sie in Microsoft Active Directory eine neue OE erstellen, legt das System möglicherweise automatisch das Attribut Prevent Accidental Deletion fest, das für die neu erstellte OE und alle abgeleiteten Objekte für die Berechtigung „Alle untergeordneten Objekte löschen“ Deny anwendet. Wenn Sie daher dem Domänenbeitrittskonto explizit die Berechtigung „Computerobjekte löschen“ zugewiesen haben, hat Active Directory im Fall einer neu erstellten OE möglicherweise eine Außerkraftsetzung auf die explizit zugewiesene Berechtigung „Computerobjekte löschen“ angewendet. Da durch das Löschen des Flags Versehentliches Löschen verhindern das von Active Directory auf die Berechtigung „Alle untergeordneten Objekte löschen“ angewendete Deny möglicherweise nicht automatisch gelöscht wird, müssen Sie im Fall einer neu hinzugefügten OE das für die Berechtigung zum Löschen aller untergeordneten Objekte in der OE und allen untergeordneten OEs festgelegte Deny möglicherweise prüfen und manuell löschen, bevor Sie das Domänenbeitrittskonto in der Horizon Cloud-Konsole verwenden.

    Das System führt explizite Berechtigungsprüfungen für das Domänenbeitrittskonto innerhalb der OE durch, die Sie im Workflow für die Active Directory-Registrierung (im Textfeld Standard-OE in diesem Workflow) sowie innerhalb der OEs festlegen, die Sie in den Farmen und in den von Ihnen erstellten VDI-Desktop-Zuweisungen angeben, wenn die Textfelder Computer-OE für Farm und VDI-Desktop-Zuweisung von der Standard-OE in der Active Directory-Registrierung abweichen.

    Um auch die Fälle abzudecken, in denen Sie möglicherweise eine untergeordnete OE verwendet, empfiehlt es sich als Best Practice, diese Berechtigungen für alle nachfolgenden Objekte der Computer-OE festzulegen. Die für das Domänenbeitrittskonto erforderlichen AD-Berechtigungen werden in der folgenden Tabelle dargestellt.

    Zugriff Gilt für
    Inhalt auflisten Dieses Objekt und alle untergeordneten Objekte
    Alle Eigenschaften lesen Dieses Objekt und alle untergeordneten Objekte
    Alle Eigenschaften schreiben Alle untergeordneten Objekte
    Berechtigungen lesen Dieses Objekt und alle untergeordneten Objekte
    Kennwort zurücksetzen Untergeordnete Computerobjekte
    Computerobjekte erstellen Dieses Objekt und alle untergeordneten Objekte
    Computerobjekte löschen Dieses Objekt und alle untergeordneten Objekte
Vorsicht:

Sie können die gesamte Kontrolle festlegen anstatt alle Berechtigungen separat festzulegen. Es wird jedoch empfohlen, die Berechtigungen separat festzulegen.

Vorsicht: Wenn Sie Instant-Clone-Images verwenden möchten, gelten für das Domänenbeitrittskonto zusätzliche Anforderungen. Zusätzlich zu der Organisationseinheit, die Sie in der Konsole angeben, wenn Sie die Active Directory-Domäne registrieren, muss das Domänenbeitrittskonto auch über die Berechtigungen verfügen, die auf allen OEs oder Sub-OEs aufgelistet sind, in die Sie einen aus einem Instant Clone-Image erstellten Desktop platzieren möchten.
  • Inhalt auflisten
  • Alle Eigenschaften lesen
  • Alle Eigenschaften schreiben
  • Berechtigungen lesen
  • Kennwort zurücksetzen
  • Computerobjekte erstellen
  • Computerobjekte löschen