Debe conectar cada host del servidor de conexión a un dominio de Active Directory. El host no debe ser un controlador de dominio.

Active Directory también administra las máquinas Horizon Agent, incluidos los host RD y las máquinas de un solo usuario, así como los usuarios y grupos de la implementación de VMware Horizon 8. Puede autorizar usuarios y grupos para que utilicen aplicaciones y escritorios remotos, además de seleccionarlos para que sean administradores en VMware Horizon 8.

Es posible colocar usuarios, grupos y máquinas de Horizon Agent en los siguientes dominios de Active Directory:

• El dominio del servidor de conexión
• Un dominio diferente que tiene una relación de confianza bidireccional con el dominio del servidor de conexión.
• Un dominio en un bosque diferente al del dominio del servidor de conexión. Este último debe confiar de manera unidireccional y externa en él o debe existir una relación de confianza entre el dominio y un dominio kerberos.
• Un dominio en un bosque diferente al del dominio del servidor de conexión. Este último debe confiar de manera unidireccional en él o debe existir una relación de confianza transitiva bidireccional entre ambos.
• Dominios que no son de confianza

Active Directory autentica los usuarios en el dominio del servidor de conexión, en otros dominios de usuario adicionales con los que exista un acuerdo de confianza y en dominios que no son de confianza.

Si los usuarios y los grupos se encuentran en dominios de confianza unidireccional, debe proporcionar credenciales secundarias para los usuarios administradores en Horizon Console. Los administradores deben poseer credenciales secundarias para darles acceso a los dominios de confianza unidireccionales. Un dominio de confianza unidireccional puede ser un dominio externo o un dominio en una confianza de bosque transitiva.

Las credenciales secundarias solo son necesarias para las sesiones de Horizon Console, no para las sesiones de aplicaciones o escritorios de usuarios finales. Solo los usuarios administradores necesitan credenciales secundarias.

Puede proporcionar credencial secundarias si utiliza el comando vdmadmin -T.

• Configure credenciales secundarias para usuarios administradores individuales.
• En una confianza de bosque, puede configurar credenciales secundarias para el dominio raíz del bosque. A continuación, el servidor de conexión podrá enumerar dominios secundarios en la confianza de bosque.

Para obtener más información, consulte "Proporcionar credenciales secundarias para los administradores con la opción -T" en el documento Administración de Horizon.

En los dominios de confianza unidireccional no se admite la autenticación de usuarios tipo SAML o con tarjeta inteligente.

El acceso sin autenticar no se admite en un entorno de confianza unidireccional al autenticar a un usuario desde un dominio de confianza. Por ejemplo, tenemos dos dominios, el Dominio A y el Dominio B, teniendo el Dominio B una confianza unidireccional de salida al Dominio A. Cuando se habilita el acceso sin autenticar en la instancia de Connection Server del Dominio B y se agrega un usuario con acceso sin autenticar de una lista de usuarios en el Dominio A y, a continuación, se autoriza al usuario sin autenticar a un grupo de aplicaciones o de escritorios publicados, el usuario no podrá iniciar sesión como usuario con acceso sin autenticar desde Horizon Client.

La función Iniciar sesión como usuario actual en Horizon Client para Windows es compatible con dominios de confianza unidireccional.