Sie müssen jeden Verbindungsserver-Host zu einer Active Directory-Domäne hinzufügen. Bei dem Host darf es sich nicht um einen Domänencontroller handeln.
Active Directory verwaltet auch die Horizon Agent-Computer, inklusive Einzelbenutzercomputer und RDS-Hosts, sowie die Benutzer und Gruppen in Ihrer VMware Horizon 8-Bereitstellung. Sie können Benutzern und Gruppen Berechtigungen für Remote-Desktops und -anwendungen erteilen, und Sie haben die Möglichkeit, Benutzer und Gruppen in VMware Horizon 8 als Administratoren auszuwählen.
Sie können Horizon Agent-Maschinen, -Benutzer und -Gruppen in folgenden Active Directory-Domänen platzieren:
- Die Verbindungsserver-Domäne
- Eine unterschiedliche Domäne mit einer Zwei-Wege-Vertrauensbeziehung mit der Domäne des Verbindungsservers
- Eine Domäne in einer anderen Gesamtstruktur als die Domäne des Verbindungsservers, die von der Domäne des Verbindungsservers in einer externen Ein-Weg- oder Bereichs-Vertrauensbeziehung als vertrauenswürdig eingestuft wird.
- Eine Domäne in einer anderen Gesamtstruktur als die Domäne des Verbindungsservers, die von der Domäne des Verbindungsservers in einer transitiven Ein-Weg- oder Zwei-Wege-Gesamtstruktur-Vertrauensbeziehung als vertrauenswürdig eingestuft wird.
- Nicht vertrauenswürdige Domänen
Benutzer werden mithilfe von Active Directory für die Verbindungsserver-Domäne, für eine beliebige Anzahl zusätzlicher Benutzerdomänen, mit denen eine Vertrauensstellung besteht, sowie für nicht vertrauenswürdige Domänen authentifiziert.
Wenn Ihre Benutzer und Gruppen sich in Domänen mit einer Ein-Weg-Vertrauensstellung befinden, müssen Sie in Horizon Console sekundäre Anmeldedaten für die Administrationsbenutzer zur Verfügung stellen. Administratoren müssen für den Zugriff auf Domänen mit einer Ein-Weg-Vertrauensstellung über sekundäre Anmeldeinformationen verfügen. Bei Domänen mit einer Ein-Weg-Vertrauensstellung kann es sich um eine externe Domäne oder um eine Domäne in einer transitiven Gesamtstruktur-Vertrauensstellung handeln.
Sekundäre Anmeldedaten sind nur für Horizon Console-Sitzungen erforderlich und nicht für Desktop- und Anwendungssitzungen von Endbenutzern. Nur Administrationsbenutzer benötigen sekundäre Anmeldeinformationen.
Sie können die sekundären Anmeldeinformationen mithilfe des Befehls vdmadmin -T zur Verfügung stellen.
- Sekundäre Anmeldeinformationen werden für einzelne Administrationsbenutzer konfiguriert.
- Für eine Gesamtstruktur-Vertrauensstellung können Sie sekundäre Anmeldeinformationen für die Gesamtstruktur-Stammdomäne konfigurieren. Der Verbindungsserver hat dann die Möglichkeit, die untergeordneten Domänen in der Gesamtstruktur-Vertrauensstellung einzeln zu benennen.
Weitere Informationen finden Sie unter „Bereitstellen sekundärer Anmeldeinformationen mithilfe der -T-Option“ im Dokument Horizon 8-Verwaltung.
Die Smartcard- und SAML-Authentifizierung von Benutzern wird in Domänen mit einer Ein-Weg-Vertrauensstellung nicht unterstützt.
Der nicht authentifizierte Zugriff wird in einer Umgebung mit einer unidirektionalen Vertrauensstellung nicht unterstützt, wenn ein Benutzer aus einer vertrauenswürdigen-Domänen authentifiziert wird. Es gibt beispielsweise zwei Domänen, Domäne A und Domäne B, wobei Domäne B eine unidirektionale ausgehende Vertrauensstellung für die Domäne A aufweist. Wenn Sie den nicht authentifizierten Zugriff auf dem Verbindungsserver in Domäne B aktivieren und einen Benutzer für nicht authentifizierten Zugriff aus einer Benutzerliste in Domäne A hinzufügen und dann dem nicht authentifizierten Benutzer die Berechtigung für einen veröffentlichten Desktop- oder Anwendungspool erteilen, kann sich der Benutzer nicht über Horizon Client als Benutzer für nicht authentifizierten Zugriff anmelden.
Die Funktion „Als aktueller Benutzer anmelden“ in Horizon Client für Windows wird in unidirektionalen vertrauenswürdigen Domänen unterstützt.
Nicht vertrauenswürdige Domänen
Eine Domäne in einer anderen Gesamtstruktur als die Verbindungsserver-Domäne, die keine formelle Vertrauensbeziehung mit der Verbindungsserver-Domäne hat, ist eine nicht vertrauenswürdige Domänenbeziehung. Bei einer nicht vertrauenswürdigen Domänenbeziehung werden die Benutzer mit den Anmeldedaten des primären Domänendienstkontos authentifiziert. Benutzer können nur dann mit Domänendienst-Hilfskonten authentifiziert werden, wenn der Zugriff auf das primäre Domänendienstkonto nicht möglich ist. Weitere Informationen zum Konfigurieren von nicht vertrauenswürdigen Domänen finden Sie unter „Konfigurieren von nicht vertrauenswürdigen Domänen“ im Dokument Horizon 8-Verwaltung.
- Als aktueller Benutzer anmeldung
- vdmadmin-Befehle
- Hinzufügen eines Administratorbenutzers für eine nicht vertrauenswürdige Domäne
- IPv6
- Identifizieren eines AD-Benutzers ohne AD-UPN