Debe conectar cada host del servidor de conexión a un dominio de Active Directory. El host no debe ser un controlador de dominio.

Active Directory también administra las máquinas Horizon Agent, incluidos los host RD y las máquinas de un solo usuario, así como los usuarios y grupos de la implementación de Horizon 7. Puede autorizar usuarios y grupos para que utilicen aplicaciones y escritorios remotos, además de seleccionarlos para que sean administradores en Horizon Administrator.

Puede colocar máquinas Horizon Agent, servidores de View Composer, usuarios y grupos en los siguientes dominios de Active Directory:

  • El dominio del servidor de conexión
  • Un dominio diferente que tiene una relación de confianza bidireccional con el dominio del servidor de conexión.
  • Un dominio en un bosque diferente al del dominio del servidor de conexión. Este último debe confiar de manera unidireccional y externa en él o debe existir una relación de confianza entre el dominio y un dominio kerberos.
  • Un dominio en un bosque diferente al del dominio del servidor de conexión. Este último debe confiar de manera unidireccional en él o debe existir una relación de confianza transitiva bidireccional entre ambos.

Active Directory autentica los usuarios en el dominio del servidor de conexión y en otros dominios de usuario adicionales con los que exista un acuerdo de confianza.

Si los usuarios y los grupos se encuentran en dominios de confianza unidireccional, debe proporcionar credenciales secundarias para los usuarios administradores en Horizon Administrator. Los administradores deben poseer credenciales secundarias para darles acceso a los dominios de confianza unidireccionales. Un dominio de confianza unidireccional puede ser un dominio externo o un dominio en una confianza de bosque transitiva.

Las credenciales secundarias solo son necesarias para sesiones de Horizon Administrator, no para escritorios de usuarios finales ni sesiones de aplicaciones. Solo los usuarios administradores necesitan credenciales secundarias.

Puede proporcionar credencial secundarias si utiliza el comando vdmadmin -T.

  • Configure credenciales secundarias para usuarios administradores individuales.
  • En una confianza de bosque, puede configurar credenciales secundarias para el dominio raíz del bosque. A continuación, el servidor de conexión podrá enumerar dominios secundarios en la confianza de bosque.

Para obtener más información, consulte "Proporcionar credenciales secundarias para los administradores con la opción -T" en el documento Administración de Horizon 7.

En los dominios de confianza unidireccional no se admite la autenticación de usuarios tipo SAML o con tarjeta inteligente.

El acceso sin autenticar no se admite en un entorno de confianza unidireccional al autenticar a un usuario desde un dominio de confianza. Por ejemplo, tenemos dos dominios, el Dominio A y el Dominio B, teniendo el Dominio B una confianza unidireccional de salida al Dominio A. Cuando se habilita el acceso sin autenticar en el servidor de conexión del Dominio B y se agrega un usuario con acceso sin autenticar de una lista de usuarios en el Dominio A y, a continuación, se autoriza al usuario sin autenticar a un grupo de aplicaciones o de escritorios publicados, el usuario no podrá iniciar sesión como usuario con acceso sin autenticar desde Horizon Client.

A partir de la versión 7.10 de Horizon 7, la función Iniciar sesión como usuario actual en Horizon Client para Windows es compatible con dominios de confianza unidireccional.

Nota: Puesto que los servidores de seguridad no tienen acceso a los repositorios de autenticación, incluidos los de Active Directory, no es necesario que estén ubicados en un dominio de Active Directory.