Después de configurar el proveedor de identidad, cree dos cuentas de enlace de dominio y dos de unión de dominio en su instancia de Active Directory local. Más adelante, utilizará Horizon Universal Console para proporcionar los detalles de estas cuentas a Horizon Cloud.
Horizon Cloud requiere que especifique dos instancias de las siguientes cuentas de AD para usarlas como cuentas de servicio.
- Una cuenta de enlace de dominio que se utiliza para realizar búsquedas en el dominio de AD.
- Una cuenta de unión de dominio que se utiliza para unir las cuentas de equipo al dominio eliminar cuentas de equipo del dominio y realizar operaciones de preparación del sistema
Observe las siguientes directrices para las cuentas de Active Directory que especifique para estas cuentas de servicio.
- Si las cuentas de enlace de dominio principal y auxiliar caducan o no se puede acceder a ellas, el inicio de sesión único no funciona y el usuario no se puede unir a escritorios nuevos. Si no establece la opción Nunca caduca para las cuentas de enlace de dominio principal o auxiliar, debe configurarlas con diferentes fechas de caducidad. Tendrá que estar pendiente cuando se acerque la fecha de vencimiento y actualizar la información de la cuenta de enlace de dominio de Horizon Cloud antes de que caduque.
- Si las cuentas de unión de dominio principal y auxiliar caducan o no se puede acceder a ellas, el inicio de sesión único no funciona y no se puede unir a escritorios nuevos. Si no establece la opción Nunca caduca para las cuentas de unión de dominio principal o auxiliar, debe configurarlas con diferentes fechas de caducidad. Tendrá que estar pendiente cuando se acerque la fecha de vencimiento y actualizar la información de la cuenta de unión de dominio de Horizon Cloud antes de que caduque.
Cuenta de enlace de dominio: permisos de Active Directory requeridos
La cuenta de enlace de dominio debe tener permisos de lectura que permitan buscar cuentas de AD en todas las OU que prevé usar en las operaciones de escritorio como servicio que proporciona Horizon Cloud (como la asignación de máquinas virtuales de escritorio a los usuarios finales). La cuenta de enlace de dominio requiere la capacidad de enumerar objetos de Active Directory. La cuenta de enlace de dominio debe tener los siguientes permisos en todas las OU y los objetos que prevé usar con Horizon Cloud:
- Mostrar contenido
- Leer todas las propiedades
- Permisos de lectura
- Lectura de tokenGroupsGlobalAndUniversal (implícito en el permiso Lectura de todas las propiedades)
Cuenta de unión de dominio: permisos de Active Directory necesarios
La cuenta de unión de dominio está configurada en el nivel de arrendatario. El sistema utiliza la misma cuenta de unión de dominio que está configurada en el registro de Active Directory para todas las operaciones relacionadas con la unión de dominio con todos los pods del grupo del arrendatario.
El sistema realiza comprobaciones de permisos explícitas en la cuenta de unión de dominio de la OU especificada en el flujo de trabajo de registro de Active Directory (en el cuadro de texto OU predeterminada de dicho flujo de trabajo) y también de las OU especificadas en las asignaciones de escritorios VDI y granjas que se crean (si el cuadro de texto Unidad organizativa (UO) del equipo de las asignaciones de escritorios VDI y granjas es diferente de la OU predeterminada en el registro de Active Directory).
Para cubrir los casos en los que se puede utilizar una unidad organizativa secundaria, se recomienda establecer estos permisos necesarios para aplicarlos a todos los objetos descendientes de la unidad organizativa del equipo.
- Por lo general, Active Directory asigna algunos de los permisos de la lista a las cuentas de forma predeterminada. Sin embargo, si ha limitado el permiso de seguridad en Active Directory, debe asegurarse de que la cuenta de unión a dominio tenga estos permisos de lectura para las UO y los objetos que tiene previsto usar con Horizon Cloud.
- En Microsoft Active Directory, cuando se crea una nueva unidad organizativa, el sistema puede establecer automáticamente el atributo
Prevent Accidental Deletion
, que aplica unDeny
al permiso para eliminar todos los objetos secundarios para la unidad organizativa recién creada y todos los objetos descendientes. Como resultado, si asigna de forma explícita el permiso para eliminar objetos de equipo a la cuenta de unión al dominio, en el caso de una unidad organizativa recién creada, Active Directory podría haber aplicado un reemplazo al permiso para eliminar objetos de equipo asignado explícitamente. Dado que borrar la marca para Evitar la eliminación accidental no borra automáticamente elDeny
que Active Directory aplicó al permiso para eliminar todos los objetos secundarios, en el caso de una unidad organizativa recién agregada, es posible que tenga que verificar y borrar manualmente el conjunto de permisosDeny
para eliminar todos los objetos secundarios en la unidad organizativa y todas las unidades organizativas secundarias antes de usar la cuenta de unión al dominio en Horizon Universal Console.
Reutilizar cuentas de equipo
Se debe conceder permiso a las cuentas de usuario de unión de dominio para reutilizar las cuentas de equipo existentes mediante los siguientes pasos:
- Cree un nuevo grupo de seguridad universal.
- Agregue todas las cuentas de usuario de unión de dominio al nuevo grupo de seguridad.
- Para todos los objetos de directiva de grupo (GPO) relevantes, active Controlador de dominio: Permitir la reutilización de cuentas de equipo durante la unión al dominio.
- Haga clic en Editar seguridad....
- En el cuadro de diálogo Configuración de seguridad para los propietarios de cuentas de ordenador de confianza, haga clic en Agregar....
- Seleccione el nuevo grupo de seguridad y haga clic en Aceptar.
Siga estos pasos para cada dominio.