Par défaut, des pools de postes de travail automatisés, des pools de postes de travail manuels et des batteries de serveurs sont créés dans le groupe d'accès racine, qui s'affiche sous la forme / ou Root(/) dans Horizon Administrator. Les pools de postes de travail publiés et les pools d'applications héritent du groupe d'accès de leur batterie de serveurs. Vous pouvez créer des groupes d'accès sous le groupe d'accès racine pour déléguer l'administration de pools ou de batteries de serveurs spécifiques à d'autres administrateurs.

Note : Vous ne pouvez pas directement modifier le groupe d'accès d'un pool de postes de travail publiés ou d'un pool d'applications. Vous devez modifier le groupe d'accès de la batterie de serveurs à laquelle le pool de postes de travail publiés ou le pool d'applications appartient.

Une machine virtuelle ou physique hérite du groupe d'accès de son pool de postes de travail. Un disque persistant attaché hérite du groupe d'accès de sa machine. Vous pouvez disposer d'un maximum de 100 groupes d'accès, notamment le groupe d'accès racine.

Vous configurez un accès administrateur aux ressources dans un groupe d'accès en attribuant un rôle à un administrateur sur ce groupe d'accès. Les administrateurs ne peuvent accéder qu'aux ressources qui résident dans des groupes d'accès pour lesquels des rôles leur ont été attribués. Le rôle dont un administrateur dispose sur un groupe d'accès détermine le niveau d'accès de l'administrateur sur les ressources de ce groupe d'accès.

Comme les rôles sont hérités du groupe d'accès racine, un administrateur qui dispose d'un rôle sur le groupe d'accès racine détient ce rôle sur tous les groupes d'accès. Les administrateurs qui disposent du rôle Administrateurs sur le groupe d'accès racine sont des super administrateurs, car ils bénéficient d'un accès complet à tous les objets du système.

Un rôle doit contenir au moins un privilège spécifique d'un objet pour s'appliquer à un groupe d'accès. Les rôles ne contenant que des privilèges généraux ne peuvent pas être appliqués aux groupes d'accès.

Vous pouvez utiliser Horizon Administrator pour créer des groupes d'accès et déplacer des pools de postes de travail existants vers des groupes d'accès. Lorsque vous créez un pool de postes de travail automatisé, un pool manuel ou une batterie de serveurs, vous pouvez accepter le groupe d'accès racine par défaut ou sélectionner un autre groupe d'accès.

Note : Si vous prévoyez de fournir un accès à vos applications et postes de travail via VMware Identity Manager, assurez-vous de créer les pools d'applications et de postes de travail en tant qu'utilisateur disposant du rôle Administrateurs sur le groupe d'accès racine dans Horizon Administrator. Si vous attribuez à l'utilisateur le rôle Administrateurs sur un groupe d'accès autre que le groupe d'accès racine, VMware Identity Manager ne reconnaîtra pas l'authentificateur SAML que vous configurez dans Horizon 7 et vous ne pourrez pas configurer le pool dans VMware Identity Manager.