En un entorno complejo de Active Directory, puede producirse el siguiente escenario en una organización: los recursos aprovisionados por el pod están unidos a un dominio en un bosque, las cuentas de usuario se encuentran en un dominio de otro bosque y se dispone de una confianza externa o de bosque que permite a los usuarios acceder a recursos en dominios distintos de los suyos. En este tema se describe la compatibilidad de Horizon Cloud para atravesar las confianzas externas o de bosque que se encuentran entre los dominios de diferentes bosques.

En la consola administrativa, puede crear las denominadas asignaciones para autorizar a los usuarios y los grupos a utilizar los recursos aprovisionados por un pod. Cuando se crea una asignación de escritorio VDI o una granja desde la consola, se especifican los dominios registrados en la nube en los que se encuentran las máquinas virtuales de escritorio o de host de sesión de granja resultantes. En la consola, también puede configurar las asignaciones necesarias para que los usuarios y los grupos utilicen esos recursos en los dominios de Active Directory. Para poder utilizar entornos de dominios complejos con estas asignaciones, Horizon Cloud permite realizar las siguientes funciones:

  • Autorizar a usuarios y grupos unidos a un dominio de un bosque a utilizar los recursos aprovisionados por el pod que están unidos a un dominio de otro bosque.
  • Definir confianzas unidireccionales.
Importante: No se admite el uso de grupos locales de dominios con las asignaciones de Horizon Cloud. Para autorizar la inclusión de grupos de distintos bosques en una misma asignación, debe registrar un grupo universal de cada bosque.

Para establecer la compatibilidad de las confianzas externas y de bosque en Horizon Cloud, siga estas indicaciones:

  • Registre en Horizon Cloud todos los dominios de todos los bosques que contengan las cuentas que desea utilizar con los recursos aprovisionados por los pods conectados a la nube. Para que el sistema pueda validar los grupos de un bosque, los dominios de dichos grupos deben registrarse en Horizon Cloud. Consulte Registrar el primer dominio de Active Directory en el entorno de Horizon Cloud y Registrar dominios de Active Directory adicionales como dominios de Active Directory configurados en la nube en el entorno de tenant de Horizon Cloud. Tal y como se describe en esos temas, todos los pods conectados a la nube deben tener una conexión directa con cada uno de los dominios de Active Directory que están registrados en la nube.
  • Registre los dominios raíz de bosque desde ambos lados de una confianza de bosque. Este requisito debe cumplirse aunque no haya usuarios o escritorios en los dominios raíz del bosque, y permite a Horizon Cloud conectar con las raíces del bosque y descodificar los objetos del dominio de confianza (Trusted Domain Objects, TDO) relevantes.
  • Habilite el catálogo global para al menos uno de los dominios registrados en cada bosque. Para obtener un rendimiento óptimo, todos los dominios registrados deben tener el catálogo global habilitado.
  • Para habilitar la inclusión de grupos de distintos bosques en una misma asignación en Horizon Cloud, registre al menos un grupo universal de cada bosque.
  • Aplique una estructura jerárquica al contexto de nomenclatura raíz y el nombre DNS de los dominios del bosque. Por ejemplo, si el dominio principal se denomina ejemplo.edu, un dominio secundario podría denominarse vpc.ejemplo.edu, pero no vpc.com.
  • Evite incluir un dominio de un bosque de confianza externa cuyo nombre de NetBIOS entre en conflicto con otro dominio registrado, ya que dichos dominios se excluyen de la enumeración del sistema. Cuando esto ocurre, el nombre de NetBIOS registrado tiene prioridad sobre el que crea el conflicto, que se ha detectado durante la enumeración del sistema de los dominios de un bosque de confianza.