Dans un environnement Active Directory complexe, votre organisation peut présenter un scénario dans lequel vos ressources provisionnées par l'espace sont jointes à un domaine dans une forêt alors que vos comptes d'utilisateur se trouvent dans un domaine d'une autre forêt. Vous disposez d'une approbation externe ou de forêt qui permet aux utilisateurs de leur domaine d'accéder aux ressources de l'autre domaine. Cette rubrique décrit la prise en charge par Horizon Cloud du parcours des approbations externes ou des approbations de forêt qui se trouvent entre vos domaines de différentes forêts.

Dans la console d'administration, créez des éléments appelés attributions pour autoriser des utilisateurs et des groupes à accéder à vos ressources provisionnées par l'espace. Lorsque vous utilisez la console pour créer une attribution de poste de travail VDI ou une batterie de serveurs, spécifiez dans quels domaines enregistrés du cloud localiser les VM de poste de travail ou les machines virtuelles d'hôte de session de la batterie de serveurs résultantes. Vous pouvez également utiliser la console pour configurer les attributions afin de fournir l'utilisation de ces ressources à des utilisateurs et à des groupes de vos domaines Active Directory. Pour intégrer l'utilisation d'environnements de domaine complexes pour ces attributions, Horizon Cloud prend en charge les éléments suivants :

  • Autorisation d'accès des ressources provisionnées par l'espace qui sont jointes à un domaine d'une forêt à des utilisateurs et à des groupes joints à un domaine d'une autre forêt.
  • Approbations unidirectionnelles.
Important : L'utilisation de groupes locaux de domaine pour des attributions d' Horizon Cloud n'est pas prise en charge. Pour autoriser des groupes de différentes forêts à accéder à la même attribution, vous devez enregistrer un groupe universel de chaque forêt.

Pour qu'Horizon Cloud prenne en charge vos approbations externes et de forêt, vous devez effectuer les opérations suivantes :

  • Enregistrez dans Horizon Cloud tous les domaines de toutes les forêts qui contiennent des comptes à utiliser avec les ressources provisionnées à partir des espaces connectés au cloud. Le système ne peut pas valider les groupes d'une forêt, sauf si le domaine du groupe est enregistré dans Horizon Cloud. Reportez-vous aux sections Locataires de première génération - Effectuer le premier enregistrement de domaine Active Directory requis pour votre locataire de plan de contrôle Horizon Cloud et Enregistrer des domaines Active Directory supplémentaires comme domaines Active Directory configurés par le cloud avec votre environnement de locataire Horizon Cloud. Comme décrit dans ces rubriques, tous les espaces connectés au cloud doivent avoir une vue directe sur tous les domaines Active Directory enregistrés dans le cloud.
  • Enregistrez des domaines racines de forêt des deux côtés d'une approbation de forêt. Cette condition requise doit être remplie même si vous ne disposez d'aucun utilisateur ou poste de travail dans les domaines racines de forêt. Cette condition requise permet à Horizon Cloud de se connecter aux racines de forêt et de décoder les objets de domaine approuvés (TDO, Trusted Domain Objects) pertinents.
  • Activez le catalogue global pour au moins l'un des domaines enregistrés dans chaque forêt. Pour des performances optimales, le catalogue global doit être activé sur tous les domaines enregistrés.
  • Pour permettre l'autorisation d'accès à la même attribution à des groupes de différentes forêts dans Horizon Cloud, enregistrez au moins un groupe universel de chaque forêt.
  • Suivez une structure hiérarchique pour les noms de DNS et le contexte de nommage de la racine pour les domaines de forêt. Par exemple, si le nom du domaine parent est example.edu, un domaine enfant peut être nommé vpc.example.edu, mais pas vpc.com.
  • Évitez de combiner un domaine d'une forêt approuvée en externe avec un nom NETBIOS qui est en conflit avec un autre domaine enregistré, car ces domaines sont exclus de l'énumération du système. Le nom NETBIOS enregistré a priorité sur un nom NETBIOS dissonant trouvé lors de l'énumération par le système des domaines d'une forêt approuvée.