Horizon Cloud requiere el uso de dos cuentas en el dominio de Active Directory (AD) para utilizarlas como cuentas de servicio. En este tema se describen los requisitos que deben cumplir esas dos cuentas.

Horizon Cloud requiere que se especifiquen dos cuentas de AD para utilizarlas como cuentas de servicio.

  • Una cuenta de enlace de dominio que se utiliza para realizar búsquedas en el dominio de AD.
  • Una cuenta de unión de dominio que se utiliza para unir las cuentas de equipo al dominio y realizar operaciones de Sysprep.

Utilice la consola administrativa para proporcionar las credenciales de estas cuentas a Horizon Cloud.

Debe asegurarse de que las cuentas de AD que especifique para estas cuentas de servicio cumplan los siguientes requisitos que Horizon Cloud necesita para sus operaciones.

Importante: Debe asegurarse de que las cuentas de enlace a dominio y unión a dominio tengan los permisos que se describen aquí para las unidades organizativas y los objetos que se utilicen y se espere utilizar en el sistema. Horizon Cloud no puede rellenar previamente o predecir de antemano los grupos de Active Directory que deseará utilizar en el entorno. Debe configurar Horizon Cloud con las cuentas de enlace de dominio y unión de dominio mediante la consola administrativa.

Requisitos de cuenta de enlace de dominio

  • La cuenta de enlace de dominio no puede caducar, cambiarse ni bloquearse. Debe usar este tipo de configuración de cuenta ya que el sistema usa la cuenta de enlace de dominio principal como una cuenta de servicio para realizar consultas a Active Directory. Si la cuenta de enlace a dominio principal se vuelve inaccesible por algún motivo, el sistema utilizará la cuenta de enlace a dominio auxiliar. Si las cuentas de enlace de dominio principal y auxiliar caducan o son inaccesibles, no podrá iniciar sesión en la consola administrativa para actualizar la configuración.
    Importante: Si las cuentas de enlace a dominio principal y auxiliar caducan o son inaccesibles, no podrá iniciar sesión en la consola administrativa para actualizar la configuración con la información de la cuenta de enlace a dominio de trabajo. Si decide no establecer la opción Nunca caduca para las cuentas de enlace de dominio principal o auxiliar, debe configurarlas con diferentes fechas de caducidad. Tendrá que estar pendiente cuando se acerque la fecha de caducidad para actualizar la información de la cuenta de enlace de dominio de Horizon Cloud antes de que caduque.
  • La cuenta de enlace de dominio requiere el atributo sAMAccountName.
  • Como mínimo, la cuenta de enlace de dominio debe tener permisos de lectura que puedan realizar búsquedas en las cuentas de AD para todas las unidades organizativas (UO) de AD que planea usar en las operaciones de escritorio como servicio que proporciona de Horizon Cloud, como la asignación de máquinas virtuales de escritorio a los usuarios finales. La cuenta de enlace a dominio tiene la capacidad de enumerar objetos de Active Directory.
    Importante: La configuración predeterminada típica en Active Directory ofrece la posibilidad de realizar esa enumeración a la cuenta de usuario de dominio estándar. Sin embargo, si ha limitado el permiso de seguridad en Active Directory, debe asegurarse de que la cuenta de enlace de dominio tenga permisos de lectura para todas las UO y los objetos que tiene previsto usar con Horizon Cloud.

Requisitos de cuenta de unión a dominio

  • La cuenta de unión a dominio no puede cambiarse ni bloquearse.
  • Asegúrese de que cumple con al menos uno de los siguientes criterios:
    • En Active Directory, establezca la cuenta de unión de dominio como Nunca caduca.
    • Como alternativa, configure una cuenta de unión de dominio auxiliar que tenga una fecha de caducidad distinta de la primera cuenta de unión de dominio. Si elige este método, asegúrese de que la cuenta de unión de dominio auxiliar cumpla los mismos requisitos que la cuenta de unión de dominio principal que configuró en la consola administrativa.
    Precaución: Si la cuenta de unión de dominio caduca y no hay ninguna cuenta de unión de dominio auxiliar configurada, se producirá un error en las operaciones de Horizon Cloud para sellar imágenes y aprovisionar máquinas virtuales del servidor de granja y máquinas virtuales de escritorios VDI.
  • La cuenta de unión a dominio requiere el atributo sAMAccountName.
  • La cuenta de unión de dominio necesita los permisos de AD que aparecen en la siguiente lista.
    Importante: Por lo general, Active Directory asigna algunos de los permisos de la lista a las cuentas de forma predeterminada. Sin embargo, si ha limitado el permiso de seguridad en Active Directory, debe asegurarse de que la cuenta de unión a dominio tenga estos permisos de lectura para las UO y los objetos que tiene previsto usar con Horizon Cloud.

    Los permisos de AD necesarios para la cuenta de unión a dominio son:

    • Mostrar contenido
    • Leer todas las propiedades
    • Escribir todas las propiedades
    • Permisos de lectura
    • Restablecer contraseña
    • Crear objetos de equipo
    • Eliminar objetos de equipo
Precaución: Si va a utilizar imágenes de Instant Clone, existen requisitos adicionales para la cuenta de unión de dominio. Además de la UO que especifique en la consola administrativa al registrar el dominio de Active Directory, la cuenta de unión de dominio también debe tener los permisos que aparecen a continuación en la UO o la UO secundaria en la que desee colocar un escritorio compilado a partir de una imagen de Instant Clone.
  • Mostrar contenido
  • Leer todas las propiedades
  • Escribir todas las propiedades
  • Permisos de lectura
  • Restablecer contraseña
  • Crear objetos de equipo
  • Eliminar objetos de equipo