Debe conectar cada host de Connection Server a un dominio de Microsoft Active Directory. El host no debe ser un controlador de dominio.
Active Directory también administra las máquinas Horizon Agent, incluidos los host RD y las máquinas de un solo usuario, así como los usuarios y grupos de la implementación de VMware Horizon 8. Puede autorizar usuarios y grupos para que utilicen aplicaciones y escritorios remotos, además de seleccionarlos para que sean administradores en VMware Horizon 8.
Es posible colocar usuarios, grupos y máquinas de Horizon Agent en los siguientes dominios de Active Directory:
- El dominio de Connection Server
- Un dominio diferente que tiene una relación de confianza bidireccional con el dominio de Connection Server.
- Un dominio en un bosque diferente al del dominio de Connection Server. Este último debe confiar de manera unidireccional y externa en él o debe existir una relación de confianza entre el dominio y un dominio kerberos.
- Un dominio en un bosque diferente al del dominio de Connection Server. Este último debe confiar de manera unidireccional en él o debe existir una relación de confianza transitiva bidireccional entre ambos.
- Dominios que no son de confianza
Active Directory autentica los usuarios en el dominio de Connection Server, en otros dominios de usuario adicionales con los que exista un acuerdo de confianza y en dominios que no son de confianza.
Si los usuarios y los grupos se encuentran en dominios de confianza unidireccional, debe proporcionar credenciales secundarias para los usuarios administradores en Horizon Console. Los administradores deben poseer credenciales secundarias para darles acceso a los dominios de confianza unidireccionales. Un dominio de confianza unidireccional puede ser un dominio externo o un dominio en una confianza de bosque transitiva.
Las credenciales secundarias solo son necesarias para las sesiones de Horizon Console, no para las sesiones de aplicaciones o escritorios de usuarios finales. Solo los usuarios administradores necesitan credenciales secundarias.
Puede proporcionar credencial secundarias si utiliza el comando vdmadmin -T.
- Configure credenciales secundarias para usuarios administradores individuales.
- En una confianza de bosque, puede configurar credenciales secundarias para el dominio raíz del bosque. A continuación, Connection Server podrá enumerar dominios secundarios en la confianza de bosque.
Para obtener más información, consulte "Proporcionar credenciales secundarias para los administradores con la opción -T" en el documento Administración de Horizon 8.
En los dominios de confianza unidireccional no se admite la autenticación de usuarios tipo SAML o con tarjeta inteligente.
El acceso sin autenticar no se admite en un entorno de confianza unidireccional al autenticar a un usuario desde un dominio de confianza. Por ejemplo, tenemos dos dominios, el Dominio A y el Dominio B, teniendo el Dominio B una confianza unidireccional de salida al Dominio A. Cuando se habilita el acceso sin autenticar en la instancia de Connection Server del Dominio B y se agrega un usuario con acceso sin autenticar de una lista de usuarios en el Dominio A y, a continuación, se autoriza al usuario sin autenticar a un grupo de aplicaciones o de escritorios publicados, el usuario no podrá iniciar sesión como usuario con acceso sin autenticar desde Horizon Client.
La función Iniciar sesión como usuario actual en Horizon Client para Windows es compatible con dominios de confianza unidireccional.
Dominios que no son de confianza
Un dominio en un bosque diferente al del dominio de Connection Server que no tiene ninguna confianza formal con el dominio de Connection Server se considera una relación de dominio que no es de confianza. Para una relación de dominio que no es de confianza, los usuarios se autentican con las credenciales de la cuenta de enlace del dominio principal. Los usuarios pueden autenticarse con cuentas auxiliares de enlace de dominio solo si no se puede acceder a la cuenta de enlace de dominio principal. Para obtener más información sobre cómo configurar dominios que no son de confianza, consulte "Configurar dominios que no son de confianza" en el documento Administración de Horizon 8.
- Iniciar sesión como usuario actual
- Comandos vdmadmin
- Agregar un usuario administrador a un dominio que no es de confianza
- IPv6
- Identificar un usuario de AD que no tenga un UPN de AD