Con Horizon Client para Windows, cuando los usuarios seleccionan Iniciar sesión como usuario actual en el menú Opciones, las credenciales que se proporcionaron al iniciar sesión en el sistema cliente se usan para autenticarse en la instancia de Horizon Connection Server y en el escritorio remoto usando Kerberos. No es necesaria otra autenticación del usuario.

Para dar soporte a esta función, las credenciales del usuario se almacenan en la instancia del servidor de conexión y en el sistema cliente.

  • En la instancia del servidor de conexión, las credenciales del usuario están cifradas y se almacenan en la sesión del usuario junto al nombre de usuario, dominio y el UPN opcional. Las credenciales se agregan cuando se produce una autenticación y se eliminan cuando el objeto de sesión se destruye. El objeto de sesión se elimina cuando el usuario cierra sesión, se acaba el tiempo de espera de la sesión o se produce un error en la autenticación. El objeto de sesión reside en la memoria volátil y no se almacena en LDAP de Horizon ni en el archivo de disco.
  • En la instancia del servidor de conexión, habilite la opción Aceptar inicio de sesión como usuario actual para permitir que la instancia del servidor de conexión acepte las credenciales y la identidad del usuario que se envían cuando los usuarios seleccionan Iniciar sesión como usuario actual en el menú Opciones de Horizon Client.
    Importante: Debe comprender los riesgos de seguridad antes de habilitar esta opción. Consulte "Opciones del servidor relacionadas con la seguridad para la autenticación de usuarios" en el documento Seguridad de Horizon 7.
  • En el sistema cliente, las credenciales del usuario se cifran y se almacenan en una tabla del paquete de autenticación, que es un componente de Horizon Client. Las credenciales se agregan a la tabla cuando el usuario inicia sesión y se eliminan de la tabla cuando cierra sesión. La tabla se encuentra en una memoria volátil.
Al seleccionar Aceptar inicio de sesión como usuario actual, puede habilitar las siguientes opciones de usuario:
  • Permitir clientes heredados: admite clientes más antiguos. Horizon Client 2006 y 5.4 y versiones anteriores se consideran clientes más antiguos.
  • Permitir reserva de NTLM: utiliza la autenticación NTLM en lugar de Kerberos cuando no hay acceso al controlador de dominio. La configuración de directiva de grupo de NTLM debe estar habilitada en la configuración de Horizon Client.
  • Deshabilitar enlaces de canal: una capa de seguridad adicional para proteger la autenticación NTLM. De forma predeterminada, los enlaces de canal están habilitados en el cliente.
    Nota: Si el enlace de canal está habilitado, confirme que NTLMv2 está activado mediante el conmutador LMCompatibilityLevel y que el nivel de seguridad es 3 o superior en el entorno del usuario. Para obtener más información, consulte la documentación de Microsoft aquí.
  • Integración de True SSO: habilite esta opción en el servidor de conexión para permitir SSO en el escritorio mediante True SSO. Por ejemplo, en un modo anidado, True SSO se utiliza para iniciar sesión en un cliente anidado y, a continuación, se realiza un inicio de sesión de escritorio de secundario. Para obtener información sobre el modo anidado, consulte Guía de instalación y configuración de VMware Horizon Client para Windows.
    • Inhabilitado: el usuario debe introducir la información de inicio de sesión si el cliente no recibió las credenciales de inicio de sesión.
    • Opcional: se utilizarán las credenciales de cliente, si están disponibles, o se utilizará True SSO. Esta es la opción recomendada las opciones True SSO e Iniciar sesión como usuario actual están habilitadas.
    • Habilitado: True SSO se utilizará para iniciar sesión en el escritorio.

Los administradores pueden usar la configuración de la directiva de grupo de Horizon Client para controlar la disponibilidad de la opción Iniciar sesión como usuario actual del menú Opciones y para especificar su valor predeterminado. Los administradores también pueden usar la directiva de grupo para especificar las instancias del servidor de conexión que aceptan la información de la credencial y de la identidad de usuario que se transmite cuando los usuarios seleccionan Iniciar sesión como usuario actual en Horizon Client.

Se habilita la función Desbloqueo recursivo después de que un usuario inicie sesión en el servidor de conexión con la función Iniciar sesión como usuario actual. La función Desbloqueo recursivo desbloquea todas las sesiones remotas después de que lo hiciera el equipo cliente. Los administradores pueden controlar la función Desbloqueo recursivo con la opción de directiva global Desbloquear sesiones remotas cuando la máquina cliente está desbloqueada de Horizon Client. Para obtener más información sobre la configuración de directiva global de Horizon Client, consulte la documentación de Horizon Client en la página web Documentación de VMware Horizon Client.
Nota: La función Desbloqueo recursivo puede ser lenta cuando se utiliza Iniciar sesión como usuario actual con autenticación NTLM si Horizon Client no puede acceder a los controladores de dominio. Para mitigar este problema, habilite la opción de directiva de grupo Utilizar siempre NTLM para servidores en la carpeta Configuración de VMware Horizon Client > Configuración de seguridad > Configuración de NTLM del Editor de administración de directivas de grupo.

La función Iniciar sesión como usuario actual tiene las siguientes limitaciones y requisitos:

  • Cuando la autenticación con tarjeta inteligente se establece como Requerida en una instancia del servidor de conexión, se produce un error en la autenticación de los usuarios que seleccionaron Iniciar sesión como usuario actual cuando se conectan a la instancia del servidor de conexión. Estos usuarios se deben volver a autenticar con la tarjeta inteligente y el PIN cuando inicien sesión en el servidor de conexión.
  • La hora del sistema en el que el cliente inicia sesión y la hora del host del servidor de conexión deben estar sincronizadas.
  • Si las asignaciones de los derechos del usuario Tener acceso a este equipo desde la red se modifican en el sistema cliente, deben modificarse como se describe en el artículo 1025691 de la base de conocimientos de VMware.