Wenn Benutzer mit Horizon Client für Windows die Option Als aktueller Benutzer anmelden im Menü Optionen aktivieren, werden die Anmeldedaten, die sie bei der Anmeldung beim Clientsystem angegeben haben, für die Authentifizierung bei der Verbindungs-Broker-Instanz und dem Remote-Desktop mithilfe von Kerberos verwendet. Es ist keine weitere Benutzerauthentifizierung erforderlich.

Wenn Sie bei Windows Hello for Business mit Zertifikatvertrauensstellung auf dem Clientsystem registriert sind, wird das von Windows Hello for Business ausgestellte Benutzeranmeldezertifikat für Single Sign-On beim Horizon Agent-System verwendet. Weitere Informationen finden Sie unter „Authentifizierung mit Windows Hello for Business“ im Dokument Horizon-Verwaltung.

Zur Unterstützung dieser Funktion werden Benutzeranmeldedaten sowohl auf der Verbindungs-Broker-Instanz als auch auf dem Clientsystem gespeichert.

  • Auf der Verbindungs-Broker-Instanz werden Anmeldedaten verschlüsselt und in der Benutzersitzung zusammen mit dem Benutzernamen, der Domäne und dem optionalen UPN gespeichert. Die Anmeldeinformationen werden hinzugefügt, wenn eine Authentifizierung erfolgt, und gelöscht, wenn das Sitzungsobjekt zerstört wird. Das Sitzungsobjekt wird zerstört, wenn sich der Benutzer abmeldet, das Zeitlimit der Sitzung überschritten wird oder die Authentifizierung fehlschlägt. Das Sitzungsobjekt befindet sich im flüchtigen Speicher und wird nicht in Horizon LDAP oder in einer Datei auf der Festplatte gespeichert.
  • Aktivieren Sie in der Verbindungs-Broker-Instanz die Einstellung Anmeldung als aktueller Benutzer akzeptieren, damit die Verbindungs-Broker-Instanz die Anmeldedaten akzeptieren kann, die übergeben werden, wenn Benutzer Als aktueller Benutzer anmelden im Menü Optionen in Horizon Client aktiviert haben.
    Wichtig: Bevor Sie diese Einstellung aktivieren, müssen Sie sich mit den Sicherheitsrisiken vertraut machen. Einzelheiten finden Sie im Beitrag zu den sicherheitsrelevanten Servereinstellungen für die Benutzerauthentifizierung im Dokument Horizon-Sicherheit.
  • Auf dem Clientsystem werden die Anmeldedaten der Benutzer verschlüsselt in einer Tabelle im Authentication Package, einer Komponente von Horizon Client, gespeichert. Die Anmeldeinformationen werden der Tabelle hinzugefügt, wenn sich der Benutzer anmeldet, und aus der Tabelle entfernt, wenn er sich abmeldet. Die Tabelle verbleibt im flüchtigen Speicher.
    Wenn Sie Anmeldung als aktueller Benutzer akzeptieren auswählen, können Sie die folgenden Benutzereinstellungen aktivieren:
    • Vorgängermandanten erlauben: Support für ältere Clients. DieHorizon Client-Versionen 2006 und 5.4 sowie frühere Versionen werden als ältere Clients betrachtet.
    • NTLM-Fallback erlauben: NTLM Fallback ermöglichen: Verwendet die NTLM-Authentifizierung anstelle von Kerberos, falls kein Zugriff auf den Domänencontroller besteht. Die Gruppenrichtlinieneinstellungen für NTLM müssen in der Horizon Client-Konfiguration aktiviert sein.
    • Kanalbindungen deaktivieren: Eine zusätzliche Sicherheitsschicht zur sicheren NTLM-Authentifizierung. Kanalbindungen sind standardmäßig auf dem Client aktiviert.
      Hinweis: Wenn die Kanalbindung aktiviert ist, stellen Sie sicher, dass NTLMv2 mithilfe des Switches „LMCompatibilityLevel“ aktiviert ist und dass es sich bei der Sicherheitsstufe in der Benutzerumgebung um die Stufe 3 oder höher handelt. Weitere Informationen dazu finden Sie hier in der Microsoft-Dokumentation.
    • True SSO-Integration: Aktivieren Sie diese Einstellung auf dem Verbindungs-Broker, um SSO mithilfe von True SSO auf dem Desktop zuzulassen. In einem geschachtelten Modus wird True SSO beispielsweise verwendet, um sich bei einem geschachtelten Client anzumelden, und dann wird eine sekundäre Desktopanmeldung ausgeführt. Informationen zum geschachtelten Modus finden Sie unter Handbuch zu Horizon Client für Windows.
      • Deaktiviert: Der Benutzer muss Anmeldeinformationen eingeben, wenn der Client keine Anmeldeinformationen erhalten hat.
      • Optional: Clientanmeldedaten werden verwendet, sofern verfügbar, andernfalls wird True SSO verwendet. Dies ist die empfohlene Einstellung, wenn True SSO und „Als aktueller Benutzer anmelden“ aktiviert sind.
      • Aktiviert: True SSO wird zum Anmelden beim Desktop verwendet.

Mit Horizon Client-Gruppenrichtlinieneinstellungen können Administratoren die Verfügbarkeit der Einstellung Als aktueller Benutzer anmelden im Menü Optionen steuern und die Standardeinstellung festlegen. Außerdem können Administratoren mithilfe einer Gruppenrichtlinie festlegen, welche Verbindungs-Broker-Instanzen die Benutzeridentitäts- und Anmeldedaten akzeptieren, die übergeben werden, wenn Benutzer Als aktueller Benutzer anmelden in Horizon Client aktivieren.

Die Funktion „Rekursives Entsperren“ wird aktiviert, sobald sich ein Benutzer beim Verbindungs-Broker mit der Funktion „Als aktueller Benutzer anmelden“ anmeldet. Die Funktion der rekursiven Entsperrung entsperrt alle Remotesitzungen, wenn der Clientcomputer entsperrt wird. Administratoren können die Funktion „Rekursives Entsperren“ mit der globalen Richtlinieneinstellung Remotesitzungen entsperren, wenn der Clientcomputer entsperrt wird in Horizon Client steuern. Weitere Informationen zu globalen Richtlinieneinstellungen für Horizon Client finden Sie in der Horizon Client-Dokumentation auf der Webseite VMware Horizon Clients-Dokumentation.
Hinweis: Die Funktion „Rekursives Entsperren“ kann langsam sein, wenn Sie die Option „Als aktueller Benutzer anmelden“ für die NTLM-Authentifizierung verwenden und Horizon Client nicht auf die Domänencontroller zugreifen kann. Um dieses Problem zu beheben, aktivieren Sie die Gruppenrichtlinieneinstellung NTLM immer für Server verwenden im Ordner VMware Horizon Client-Konfiguration > Sicherheitseinstellungen > NTLM-Einstellungen im Gruppenrichtlinienverwaltungs-Editor.

Für die Funktion „Als aktueller Benutzer anmelden“ gelten folgende Einschränkungen und Anforderungen:

  • Wenn Smartcard-Authentifizierung auf einer Verbindungs-Broker-Instanz erforderlich ist, schlägt die Authentifizierung bei Benutzern fehl, die beim Herstellen einer Verbindung zur Verbindungs-Broker-Instanz die Option Als aktueller Benutzer anmelden aktivieren. Diese Benutzer müssen sich bei der Anmeldung beim Verbindungs-Broker erneut mit ihrer Smartcard und ihrer PIN authentifizieren.
  • Die Uhrzeit auf dem System, an dem sich der Client anmeldet, und die Uhrzeit auf dem Verbindungs-Broker-Host müssen synchronisiert werden.
  • Wenn die standardmäßige Zuweisung des Benutzerrechts Auf diesen Computer vom Netzwerk aus zugreifen auf dem Clientsystem geändert wird, muss die Änderung gemäß Beschreibung in VMware-Knowledgebase (KB)-Artikel 1025691 erfolgen.