Horizon Cloud requiere el uso de dos cuentas en el dominio de Active Directory (AD) para utilizarlas como cuentas de servicio. En este tema se describen los requisitos que deben cumplir esas dos cuentas.

Horizon Cloud requiere que se especifiquen dos cuentas de AD para utilizarlas como cuentas de servicio.

  • Una cuenta de enlace de dominio que se utiliza para realizar búsquedas en el dominio de AD.
  • Una cuenta de unión de dominio que se utiliza para unir las cuentas de equipo al dominio y realizar operaciones de Sysprep.
    Nota: Para los pods de Microsoft Azure, el sistema usa esta cuenta de unión de dominio en las operaciones que requieren unir máquinas virtuales al dominio; por ejemplo, al importar una imagen de Microsoft Azure Marketplace, crear instancias de RDSH de granja, crear instancias de escritorio VDI, etc.

Asegúrese de que las cuentas de Active Directory que especifique para estas cuentas de servicio cumplan los requisitos que se exponen a continuación y que Horizon Cloud necesita para sus operaciones. Después de incorporar el primer pod a su arrendatario, utilice la consola administrativa basada en la nube para proporcionar las credenciales de estas cuentas.

Importante:
  • No utilice estas cuentas de servicio en configuraciones que no sean de registro de dominio de Active Directory en Horizon Cloud. Si reutiliza estas cuentas de servicio en otras configuraciones, pueden producirse resultados inesperados. Por ejemplo, no reutilice la misma cuenta de enlace de dominio en las opciones de configuración de Workspace ONE Access Connector o puede que aparezcan notificaciones inesperadas sobre la cuenta de enlace de dominio en Horizon Universal Console.
  • Debe asegurarse de que las cuentas de enlace de dominio y unión de dominio tengan los permisos que se describen aquí para las unidades organizativas y los objetos que se utilicen y se espere utilizar en el sistema. Horizon Cloud no puede rellenar previamente o predecir de antemano los grupos de Active Directory que deseará utilizar en el entorno. Debe configurar Horizon Cloud con las cuentas de enlace de dominio y unión de dominio mediante la consola.
Precaución:

Aunque puede establecer el control total en las cuentas en lugar de configurar todos los permisos por separado, se recomienda que configure los permisos por separado.

Cuenta de enlace de dominio: características requeridas

  • La cuenta de enlace de dominio no puede caducar, cambiarse ni bloquearse. Debe usar este tipo de configuración de cuenta ya que el sistema usa la cuenta de enlace de dominio principal como una cuenta de servicio para realizar consultas a Active Directory. Si la cuenta de enlace a dominio principal se vuelve inaccesible por algún motivo, el sistema utilizará la cuenta de enlace a dominio auxiliar. Cuando las cuentas de enlace de dominio principal y auxiliar caducan o no es posible acceder a ellas, no se puede iniciar sesión en la consola basada en la nube ni actualizar la configuración.
    Importante: Cuando las cuentas de enlace de dominio principal y auxiliar caducan o no es posible acceder a ellas, no se puede iniciar sesión en la consola ni actualizar la configuración con la información de la cuenta de enlace de dominio activa. Si no establece la opción Nunca caduca para las cuentas de enlace de dominio principal o auxiliar, debe configurarlas con diferentes fechas de caducidad. Tendrá que estar pendiente cuando se acerque la fecha de vencimiento y actualizar la información de la cuenta de enlace de dominio de Horizon Cloud antes de que caduque.
  • La cuenta de enlace de dominio requiere el atributo sAMAccountName. El atributo sAMAccountName debe tener 20 caracteres o menos, y no puede contener ninguno de los siguientes caracteres: "/ \ [ ] : ; | = , + * ? < >
  • A la cuenta de enlace de dominio se le asigna siempre la función de superadministrador, que concede todos los permisos para realizar acciones de administración en la consola. Asegúrese de que los usuarios a los que no desea conceder permisos de superadministrador no puedan acceder a dicha cuenta. Para obtener más información sobre las funciones que utiliza la consola, consulte Prácticas recomendadas sobre los dos tipos de funciones que se conceden a los usuarios para que usen Horizon Universal Console para trabajar en su entorno de Horizon Cloud.

Cuenta de enlace de dominio: permisos de Active Directory requeridos

La cuenta de enlace de dominio debe tener permisos de lectura que permitan buscar cuentas de AD en todas las OU que prevé usar en las operaciones de escritorio como servicio de Horizon Cloud (como la asignación de máquinas virtuales de escritorio a los usuarios finales). La cuenta de enlace de dominio requiere la capacidad de enumerar objetos de Active Directory. La cuenta de enlace de dominio debe tener los siguientes permisos en todas las OU y los objetos que prevé usar con Horizon Cloud:

  • Mostrar contenido
  • Leer todas las propiedades
  • Permisos de lectura
  • Lectura de tokenGroupsGlobalAndUniversal (implícito en el permiso Lectura de todas las propiedades)
Importante: Por lo general, se debe conceder a las cuentas de enlace de dominio los permisos de acceso de lectura predeterminados que se conceden normalmente a los Usuarios autenticados en una implementación de Microsoft Active Directory. En una implementación integrada de Microsoft Active Directory, los ajustes predeterminados que normalmente se conceden a los Usuarios autenticados generalmente ofrecen a una cuenta de usuario de dominio estándar la capacidad de realizar la enumeración requerida que Horizon Cloud necesita para la cuenta de enlace de dominio. Sin embargo, si los administradores de AD de su organización han decidido bloquear los permisos relacionados con el acceso de lectura para los usuarios normales, debe solicitar que los administradores de AD conserven los valores predeterminados estándar de los Usuarios autenticados para las cuentas de enlace de dominio que utilizará para Horizon Cloud.

Cuenta de unión de dominio: características requeridas

  • La cuenta de unión a dominio no puede cambiarse ni bloquearse.
  • El nombre de usuario de la cuenta no puede contener espacios en blanco. Si el nombre contiene un espacio en blanco, se producirán resultados inesperados en las operaciones del sistema que dependen de esa cuenta.
  • La cuenta de unión a dominio requiere el atributo sAMAccountName. El atributo sAMAccountName debe tener 20 caracteres o menos, y no puede contener ninguno de los siguientes caracteres: "/ \ [ ] : ; | = , + * ? < >
  • Asegúrese de que cumple con al menos uno de los siguientes criterios:
    • En Active Directory, establezca la cuenta de unión de dominio como Nunca caduca.
    • Como alternativa, configure una cuenta de unión de dominio auxiliar que tenga una fecha de caducidad distinta de la primera cuenta de unión de dominio. Si elige este método, asegúrese de que la cuenta de unión de dominio auxiliar cumple los mismos requisitos que la cuenta de unión de dominio principal configurada en la consola.
    Precaución: Si la cuenta de unión de dominio caduca y no hay ninguna cuenta de unión de dominio auxiliar configurada, se producirá un error en las operaciones de Horizon Cloud para sellar imágenes y aprovisionar máquinas virtuales RDSH de granja y máquinas virtuales de escritorios VDI.
Importante: Si el arrendatario tiene pods de Horizon Cloud en Microsoft Azure que ejecutan manifiestos anteriores a la versión 1600.0, debe asegurarse de que la cuenta de unión al dominio que introduzca al registrar el dominio también esté en uno de los grupos de Active Directory a los que asigna la función de superadministrador de Horizon Cloud. Las operaciones del sistema con los pods que ejecutan las versiones de manifiesto anteriores dependen de que la cuenta de unión de dominio tenga los permisos concedidos por la función de superadministrador de Horizon Cloud. Para obtener una descripción de cómo asignar la función a un grupo, consulte Asignar funciones a grupos de Active Directory que controlan qué áreas de Horizon Universal Console se activan para las personas de esos grupos después de autenticarse en el entorno de arrendatario de Horizon Cloud.

Cuenta de unión de dominio: permisos de Active Directory necesarios

La cuenta de unión de dominio está configurada en el nivel de arrendatario. El sistema utiliza la misma cuenta de unión de dominio que está configurada en el registro de Active Directory para todas las operaciones relacionadas con la unión de dominio con todos los pods del grupo del arrendatario.

El sistema realiza comprobaciones de permisos explícitas en la cuenta de unión de dominio de la OU especificada en el flujo de trabajo de registro de Active Directory (en el cuadro de texto OU predeterminada de dicho flujo de trabajo) y también de las OU especificadas en las asignaciones de escritorios VDI y granjas que se crean (si el cuadro de texto Unidad organizativa (UO) del equipo de las asignaciones de escritorios VDI y granjas es diferente de la OU predeterminada en el registro de Active Directory).

Para cubrir los casos en los que se puede utilizar una unidad organizativa secundaria, se recomienda establecer estos permisos necesarios para aplicarlos a todos los objetos descendientes de la unidad organizativa del equipo.

Importante:
  • Por lo general, Active Directory asigna algunos de los permisos de la lista a las cuentas de forma predeterminada. Sin embargo, si ha limitado el permiso de seguridad en Active Directory, debe asegurarse de que la cuenta de unión a dominio tenga estos permisos de lectura para las UO y los objetos que tiene previsto usar con Horizon Cloud.
  • En Microsoft Active Directory, cuando se crea una nueva unidad organizativa, el sistema puede establecer automáticamente el atributo Prevent Accidental Deletion, que aplica un Deny al permiso para eliminar todos los objetos secundarios para la unidad organizativa recién creada y todos los objetos descendientes. Como resultado, si asigna de forma explícita el permiso para eliminar objetos de equipo a la cuenta de unión al dominio, en el caso de una unidad organizativa recién creada, Active Directory podría haber aplicado un reemplazo al permiso para eliminar objetos de equipo asignado explícitamente. Dado que borrar la marca para Evitar la eliminación accidental no borra automáticamente el Deny que Active Directory aplicó al permiso para eliminar todos los objetos secundarios, en el caso de una unidad organizativa recién agregada, es posible que tenga que verificar y borrar manualmente el conjunto de permisos Deny para eliminar todos los objetos secundarios en la unidad organizativa y todas las unidades organizativas secundarias antes de usar la cuenta de unión al dominio en Horizon Cloud.
Sugerencia: Para los manifiestos de pod 2474.0 y versiones posteriores, el conjunto de permisos necesarios de Active Directory para las cuentas de unión de dominio se reduce en relación con el conjunto anterior para proporcionar más flexibilidad a los arrendatarios. Sin embargo, debido a que la cuenta de unión de dominio está configurada en el nivel de arrendatario, el sistema utiliza las mismas cuentas de unión de dominio en operaciones relacionadas con la unión de dominio con todos los pods del grupo del arrendatario. Por lo tanto, cuando el grupo incluye pods de manifiestos anteriores a 2474.0, debe asegurarse de que las cuentas de unión de dominio tengan el conjunto de permisos que necesitan esos pods. Cuando todos los pods de Horizon de Microsoft Azure se actualicen al manifiesto del pod 2474.0 o una versión posterior, puede adoptar el nuevo conjunto reducido de permisos de Active Directory para las cuentas de unión de dominio.
Tabla 1. Cuando todos los pods de Horizon del grupo en Microsoft Azure ejecutan el manifiesto 2474.0 o una versión posterior
Acceso Se aplica a
Leer todas las propiedades Solo este objeto
Crear objetos de equipo Este objeto y todos los objetos descendientes
Eliminar objetos de equipo Este objeto y todos los objetos descendientes
Escribir todas las propiedades Objetos del equipo descendiente
Restablecer contraseña Objetos del equipo descendiente
Tabla 2. Cuando el grupo tiene pods de Horizon en Microsoft Azure que ejecutan un manifiesto anterior a 2474.0
Acceso Se aplica a
Mostrar contenido Este objeto y todos los objetos descendientes
Leer todas las propiedades Este objeto y todos los objetos descendientes
Crear objetos de equipo Este objeto y todos los objetos descendientes
Eliminar objetos de equipo Este objeto y todos los objetos descendientes
Escribir todas las propiedades Todos los objetos descendientes
Permisos de lectura Este objeto y todos los objetos descendientes
Restablecer contraseña Objetos del equipo descendiente