Après avoir configuré votre fournisseur d'identité, créez deux comptes de liaison de domaine et deux comptes de jonction de domaine sur votre annuaire Active Directory sur site. Par la suite, utilisez Horizon Universal Console pour communiquer les détails de ces comptes à Horizon Cloud.
Horizon Cloud nécessite que vous spécifiiez deux instances des comptes AD suivants à utiliser comme comptes de service.
- Compte de liaison de domaine utilisé pour effectuer des recherches dans votre domaine AD.
- Compte de jonction de domaine utilisé pour joindre des comptes d'ordinateur au domaine, supprimer des comptes d'ordinateur du domaine et effectuer des opérations Sysprep.
Respectez les directives suivantes pour les comptes Active Directory que vous spécifiez pour ces comptes de service.
- Si les comptes de liaison de domaine principal et auxiliaire expirent ou deviennent inaccessibles, Single Sign-On ne fonctionne pas et vous ne pouvez pas rejoindre les nouveaux postes de travail. Si vous ne définissez pas l'option N'expire jamais dans les comptes de liaison de domaine principal et auxiliaire, assurez-vous que leurs délais d'expiration sont différents. Vous devez effectuer le suivi à mesure que le délai d'expiration approche et mettre à jour les informations du compte de liaison de domaine Horizon Cloud avant l'expiration du délai.
- Si les comptes de jonction de domaine principal et auxiliaire expirent ou deviennent inaccessibles, Single Sign-On ne fonctionne pas et vous ne pouvez pas rejoindre les nouveaux postes de travail. Si vous ne définissez pas l'option N'expire jamais dans les comptes de jonction de domaine principal et auxiliaire, assurez-vous que leurs délais d'expiration sont différents. Vous devez effectuer le suivi à mesure que le délai d'expiration approche et mettre à jour les informations du compte de jonction de domaine Horizon Cloud avant l'expiration du délai.
Compte de liaison de domaine - Autorisations Active Directory requises
Le compte de liaison de domaine doit disposer des autorisations d'accès en lecture qui peuvent rechercher les comptes AD de toutes les unités d'organisation (OU) AD que vous prévoyez d'utiliser dans les opérations DaaS (Desktop-as-a-Service) qu'Horizon Cloud fournit, telles que l'attribution de VM de poste de travail à vos utilisateurs finaux. Le compte de liaison de domaine doit pouvoir énumérer les objets depuis Active Directory. Le compte de liaison de domaine exige les autorisations suivantes sur l'ensemble des unités d'organisation et des objets que vous prévoyez d'utiliser avec Horizon Cloud :
- Contenu de la liste
- Toutes les propriétés - accès en lecture
- Autorisations d'accès en lecture
- tokenGroupsGlobalAndUniversal - accès en lecture (sous-entendu par l'autorisation Toutes les propriétés - accès en lecture)
Compte de jonction de domaine - Autorisations Active Directory requises
Le compte de jonction de domaine est configuré au niveau du locataire. Le système utilise le compte de jonction de domaine qui est configuré dans l'enregistrement Active Directory pour toutes ses opérations liées à la jonction de domaine avec tous les espaces de la flotte de votre locataire.
Le système effectue des vérifications d'autorisations explicites dans le compte de jonction de domaine à l'intérieur de l'unité d'organisation que vous spécifiez dans le workflow d'enregistrement d'Active Directory (dans la zone de texte Unité d'organisation par défaut de ce workflow) et dans les unités d'organisation que vous spécifiez dans les batteries de serveurs et dans les attributions de poste de travail VDI que vous créez, si les zones de texte Unité d'organisation de l'ordinateur de ces batteries de serveurs et attributions de poste de travail VDI sont différentes de l'unité d'organisation par défaut dans l'enregistrement d'Active Directory.
Pour couvrir ces cas où vous ne pouvez jamais utiliser une sous-unité d'organisation, il est recommandé de définir ces autorisations requises pour les appliquer à tous les objets descendants de l'unité d'organisation de l'ordinateur.
- Certaines des autorisations AD de la liste sont généralement attribuées par défaut par Active Directory à des comptes. En revanche, si vous avez limité l'autorisation de sécurité dans Active Directory, vous devez vérifier que le compte de jonction de domaine dispose de ces autorisations de lecture pour l'ensemble des unités d'organisation et des objets que vous prévoyez d'utiliser avec Horizon Cloud.
- Dans Microsoft Active Directory, lorsque vous créez une unité d'organisation, le système peut définir automatiquement l'attribut
Prevent Accidental Deletion
qui applique unDeny
à l'autorisation Supprimer tous les objets enfants de l'unité d'organisation récemment créée et de tous les objets descendants. Par conséquent, si vous avez explicitement attribué l'autorisation Supprimer des objets de l'ordinateur au compte de jonction de domaine, dans le cas d'une unité d'organisation récemment créée, Active Directory peut avoir appliqué un remplacement à cette autorisation de suppression d'objets de l'ordinateur explicitement attribuée. Étant donné que l'effacement de l'indicateur Empêcher la suppression accidentelle peut ne pas effacer automatiquement la valeurDeny
qu'Active Directory a appliquée à l'autorisation de suppression de tous les objets enfants, dans le cas d'une unité d'organisation récemment ajoutée, vous devrez peut-être vérifier et effacer manuellement l'autorisationDeny
définie pour supprimer tous les objets enfants dans l'unité d'organisation et toutes les unités d'organisation enfants avant d'utiliser le compte de jonction de domaine dans Horizon Universal Console.
Réutilisation des comptes d'utilisateur
Les comptes d'utilisateur de jonction de domaine doivent être autorisés à réutiliser les comptes d'ordinateur existants en procédant comme suit :
- Créez un groupe de sécurité universel.
- Ajoutez tous les comptes d'utilisateur de jonction de domaine au nouveau groupe de sécurité.
- Pour tous les objets de stratégie de groupe (GPO) pertinents, activez Contrôleur de domaine : autoriser la réutilisation du compte d'ordinateur lors de la jonction de domaine.
- Cliquez sur Modifier la sécurité…
- Dans la boîte de dialogue Paramètres de sécurité pour les propriétaires de comptes d'ordinateur approuvés, cliquez sur Ajouter…
- Sélectionnez le nouveau groupe de sécurité, puis cliquez sur OK.
Effectuez ces étapes pour chaque domaine.