Vous devez associer chaque hôte du Serveur de connexion à un domaine Active Directory. L'hôte ne doit pas être un contrôleur de domaine.
Active Directory gère également les machines Horizon Agent, notamment les machines mono-utilisateur et les hôtes RDS, ainsi que les utilisateurs et les groupes dans votre déploiement d'Horizon 7. Vous pouvez autoriser des utilisateurs et des groupes à accéder à des applications et des postes de travail distants, et vous pouvez sélectionner des utilisateurs et des groupes comme administrateurs dans Horizon Administrator.
Vous pouvez placer des machines Horizon Agent, des serveurs View Composer, des utilisateurs et des groupes, dans les domaines Active Directory suivants :
- Le domaine du Serveur de connexion
- Un domaine différent ayant une relation de confiance bidirectionnelle avec le domaine du Serveur de connexion
- Un domaine dans une forêt différente de celle du domaine du Serveur de connexion qui est approuvée par le domaine du Serveur de connexion dans une relation de confiance unidirectionnelle externe ou de domaine
- Un domaine dans une forêt différente de celle du domaine du Serveur de connexion qui est approuvée par le domaine du Serveur de connexion dans une relation de confiance de forêt transitive unidirectionnelle ou bidirectionnelle
Les utilisateurs sont authentifiés à l'aide d'Active Directory par le domaine du Serveur de connexion et par des domaines d'utilisateurs supplémentaires avec lesquels un accord d'approbation existe.
Si vos utilisateurs et vos groupes se trouvent dans des domaines approuvés unidirectionnels, vous devez fournir des informations d'identification secondaires pour les utilisateurs administrateurs dans Horizon Administrator. Les administrateurs doivent disposer d'informations d'identification secondaires pour pouvoir accéder aux domaines approuvés unidirectionnels. Un domaine approuvé unidirectionnel peut être un domaine externe ou un domaine dans une approbation de forêt transitive.
Les informations d'identification secondaires sont requises uniquement pour les sessions Horizon Administrator, pas pour les sessions de poste de travail ou d'application des utilisateurs finaux. Seuls les utilisateurs administrateurs requièrent des informations d'identification secondaires.
Vous pouvez fournir des informations d'identification secondaires en utilisant la commande vdmadmin -T.
- Vous configurez des informations d'identification secondaires pour des utilisateurs administrateurs individuels.
- Pour une approbation de forêt, vous pouvez configurer des informations d'identification secondaires pour le domaine racine de forêt. Le Serveur de connexion peut ensuite énumérer les domaines enfants dans l'approbation de forêt.
Pour plus d'informations, reportez-vous à la section « Fournir des informations d'identification secondaires aux administrateurs à l'aide de l'option -T » dans le document Administration d'Horizon 7.
L'authentification par carte à puce et SAML des utilisateurs n'est pas prise en charge dans les domaines approuvés unidirectionnels.
L'accès non authentifié n'est pas pris en charge dans un environnement d'approbation unidirectionnelle lors de l'authentification d'un utilisateur à partir d'un domaine approuvé. Par exemple, il existe deux domaines : domaine A et domaine B, où celui-ci dispose d'une approbation sortante unidirectionnelle vers le domaine A. Lorsque vous activez l'accès non authentifié sur le Serveur de connexion dans le domaine B et que vous ajoutez un utilisateur d'accès non authentifié à une liste d'utilisateurs dans le domaine A, puis que vous autorisez l'utilisateur non authentifié à accéder à un pool de postes de travail ou d'applications publiés, l'utilisateur ne peut pas se connecter en tant qu'utilisateur d'accès non authentifié depuis Horizon Client.
À partir de la version 7.10 de Horizon 7, la fonctionnalité Se connecter comme utilisateur actuel dans Horizon Client pour Windows est prise en charge dans les domaines approuvés unidirectionnels.