Horizon Cloud requiert l'utilisation de deux comptes dans votre domaine Active Directory (AD) en tant que comptes de service. Cette rubrique décrit les conditions requises que ces deux comptes doivent remplir.
Horizon Cloud requiert que vous spécifiiez deux comptes AD à utiliser comme ces deux comptes de service.
- Compte de liaison de domaine utilisé pour effectuer des recherches dans votre domaine AD.
- Compte de jonction de domaine utilisé pour joindre des comptes d'ordinateurs au domaine et effectuer des opérations Sysprep.
Note : Pour les espaces dans Microsoft Azure, le système utilise le compte de jonction de domaine dans les opérations qui nécessitent la jonction de machines virtuelles au domaine, comme lorsque vous importez une image depuis Microsoft Azure Marketplace, créez des instances RDSH de batterie de serveurs, créez des instances de poste de travail VDI, etc.
Vous devez vous assurer que les comptes Active Directory que vous spécifiez pour ces comptes de service répondent aux conditions requises qu'Horizon Cloud exige pour ses opérations. Après l'intégration de votre premier espace à votre locataire, vous utilisez la console d'administration basée sur le cloud pour fournir les informations d'identification de ces comptes.
Important :
- N'utilisez pas ces comptes de service dans des configurations autres que dans l'enregistrement du domaine Active Directory dans l'environnement Horizon Cloud. Si vous réutilisez ces comptes de service dans d'autres configurations, des résultats inattendus peuvent se produire. Par exemple, ne réutilisez pas ce compte de liaison de domaine dans vos paramètres de configuration de connecteur Workspace ONE Access, au risque de déclencher l'affichage de notifications inattendues sur le compte de liaison de domaine dans la Horizon Universal Console.
- Vous devez vous assurer que vos comptes de liaison de domaine et de jonction de domaine disposent encore des autorisations, comme indiqué ici dans toutes les unités d'organisation et les objets que vous utilisez et que vous prévoyez d'utiliser avec le système. Horizon Cloud ne peut pas préremplir ni prévoir à l'avance quels groupes Active Directory vous souhaiterez peut-être utiliser dans l'environnement. Vous devez configurer Horizon Cloud avec le compte de liaison de domaine et le compte de jonction de domaine en utilisant la console.
Attention :
Bien que vous puissiez définir l'autorisation Contrôle total sur les comptes au lieu de définir toutes les autorisations séparément, il est toujours recommandé de définir celles-ci séparément.
Compte de liaison de domaine - Caractéristiques requises
- Le compte de liaison de domaine ne peut pas expirer, être modifié ou bloqué. Vous devez utiliser ce type de configuration de compte, car le système utilise le compte de liaison de domaine principal comme compte de service pour interroger Active Directory. Si le compte de liaison de domaine principal devient inaccessible pour une raison quelconque, le système utilise le compte de liaison de domaine auxiliaire. Si les comptes de liaison de domaines principal et auxiliaire expirent ou ne sont plus accessibles, vous ne pouvez pas vous connecter à la console basée sur le cloud et mettre à jour la configuration.
Important : Si les comptes de liaison de domaines principal et auxiliaire expirent ou ne sont plus accessibles, vous ne pouvez pas vous connecter à la console et mettre à jour la configuration avec les informations du compte de liaison de domaine actif. Si vous ne définissez pas l'option N'expire jamais dans les comptes de liaison de domaine principal et auxiliaire, vous devez les configurer pour qu'ils aient des délais d'expiration différents. Vous devez effectuer le suivi à mesure que le délai d'expiration approche et mettre à jour les informations du compte de liaison de domaine Horizon Cloud avant l'expiration du délai.
- Le compte de liaison de domaine requiert l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut pas contenir l'un des caractères suivants : " / \ [ ] : ; | = , + * ? < >
- Le rôle Super administrateur est toujours attribué au compte de liaison de domaine, ce qui accorde toutes les autorisations pour effectuer des actions de gestion dans la console. Vous devez vous assurer que le compte de liaison de domaine n'est pas accessible aux utilisateurs qui ne doivent pas disposer des autorisations de super administrateur. Pour plus d'informations sur les rôles utilisés par la console, reportez-vous à la section Meilleures pratiques concernant les deux types de rôles que vous attribuez aux personnes pour qu'elles utilisent la Horizon Universal Console afin d'exploiter votre environnement Horizon Cloud.
Compte de liaison de domaine - Autorisations Active Directory requises
Le compte de liaison de domaine doit disposer des autorisations de lecture qui peuvent rechercher les comptes AD de toutes les unités d'organisation AD que vous prévoyez d'utiliser dans les opérations DaaS (Desktop-as-a-Service) qu'Horizon Cloud fournit, telles que l'attribution de machines virtuelles de postes de travail à vos utilisateurs finaux. Le compte de liaison de domaine doit pouvoir énumérer les objets depuis Active Directory. Le compte de liaison de domaine exige les autorisations suivantes sur l'ensemble des unités d'organisation et des objets que vous prévoyez d'utiliser avec Horizon Cloud :
- Contenu de la liste
- Toutes les propriétés - accès en lecture
- Autorisations d'accès en lecture
- tokenGroupsGlobalAndUniversal - accès en lecture (sous-entendu par l'autorisation Toutes les propriétés - accès en lecture)
Important : En règle générale, les comptes de liaison de domaine doivent se voir accorder les autorisations prêtes à l'emploi qui sont liées à l'accès en lecture par défaut et qui sont généralement accordées aux
Utilisateurs authentifiés dans un déploiement Microsoft Active Directory. Dans un déploiement de Microsoft Active Directory prêt à l'emploi, ces paramètres par défaut accordés aux
Utilisateurs authentifiés donnent en général à un compte d'utilisateur de domaine standard la possibilité d'effectuer l'énumération requise dont
Horizon Cloud a besoin pour le compte de liaison de domaine. Cependant, si les administrateurs AD de votre organisation ont choisi de verrouiller les autorisations liées à l'accès en lecture pour les utilisateurs standard, vous devez demander aux administrateurs AD de conserver les valeurs standard par défaut des
utilisateurs authentifiés pour les comptes de liaison de domaine que vous utiliserez pour
Horizon Cloud.
Compte de jonction de domaine - Caractéristiques requises
- Le compte de jonction de domaine ne peut pas être modifié ou bloqué.
- Le nom d'utilisateur du compte ne peut pas contenir d'espaces blancs. Si le nom contient un espace blanc, des résultats inattendus se produisent dans les opérations système qui reposent sur ce compte.
- Le compte de jonction de domaine requiert l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut pas contenir l'un des caractères suivants : " / \ [ ] : ; | = , + * ? < >
- Veillez à remplir au moins l'un des critères suivants :
- Dans Active Directory, définissez le compte de jonction de domaine sur N'expire jamais.
- Vous pouvez également configurer un compte de jonction de domaine auxiliaire qui possède un délai d'expiration différent de celui du premier compte de jonction de domaine. Si vous choisissez cette méthode, vérifiez que le compte de jonction de domaine auxiliaire répond aux mêmes conditions requises que le compte de jonction de domaine principal que vous avez configuré dans la console.
Attention : Si le compte de jonction de domaine expire et qu'aucun compte de jonction de domaine auxiliaire actif n'est configuré, les opérations d' Horizon Cloud de fermeture des images et de provisionnement des machines virtuelles RDSH de batterie de serveurs et de postes de travail VDI échoueront.
Important : Si votre locataire dispose d'espaces
Horizon Cloud dans Microsoft Azure qui exécutent des manifestes antérieurs à 1600.0, vous devez vous assurer que le compte de jonction de domaine entré lors de l'enregistrement du domaine se trouve également dans l'un des groupes Active Directory auquel vous attribuez le rôle Super administrateurs d'
Horizon Cloud. Les opérations du système avec ces espaces qui exécutent ces anciennes versions de manifeste dépendent du compte de jonction de domaine disposant d'autorisations accordées par le rôle Super administrateurs d'
Horizon Cloud. Pour obtenir une description de l'attribution du rôle à un groupe, reportez-vous à la section
Attribuez des rôles à des groupes Active Directory qui contrôlent les zones d'Horizon Universal Console qui sont activées pour les individus de ces groupes après s'être authentifiées dans votre environnement de locataire Horizon Cloud.
Compte de jonction de domaine - Autorisations Active Directory requises
Le compte de jonction de domaine est configuré au niveau du locataire. Le système utilise le compte de jonction de domaine qui est configuré dans l'enregistrement Active Directory pour toutes ses opérations liées à la jonction de domaine avec tous les espaces de la flotte de votre locataire.
Le système effectue des vérifications d'autorisations explicites dans le compte de jonction de domaine à l'intérieur de l'unité d'organisation que vous spécifiez dans le workflow d'enregistrement d'Active Directory (dans la zone de texte Unité d'organisation par défaut de ce workflow) et dans les unités d'organisation que vous spécifiez dans les batteries de serveurs et dans les attributions de poste de travail VDI que vous créez, si les zones de texte Unité d'organisation de l'ordinateur de ces batteries de serveurs et attributions de poste de travail VDI sont différentes de l'unité d'organisation par défaut dans l'enregistrement d'Active Directory.
Pour couvrir ces cas où vous ne pouvez jamais utiliser une sous-unité d'organisation, il est recommandé de définir ces autorisations requises pour les appliquer à tous les objets descendants de l'unité d'organisation de l'ordinateur.
Important :
- Certaines des autorisations AD de la liste sont généralement attribuées par défaut par Active Directory à des comptes. En revanche, si vous avez limité l'autorisation de sécurité dans Active Directory, vous devez vérifier que le compte de jonction de domaine dispose de ces autorisations de lecture pour l'ensemble des unités d'organisation et des objets que vous prévoyez d'utiliser avec Horizon Cloud.
- Dans Microsoft Active Directory, lorsque vous créez une unité d'organisation, le système peut définir automatiquement l'attribut
Prevent Accidental Deletionqui applique unDenyà l'autorisation Supprimer tous les objets enfants de l'unité d'organisation récemment créée et de tous les objets descendants. Par conséquent, si vous avez explicitement attribué l'autorisation Supprimer des objets de l'ordinateur au compte de jonction de domaine, dans le cas d'une unité d'organisation récemment créée, Active Directory peut avoir appliqué un remplacement à cette autorisation de suppression d'objets de l'ordinateur explicitement attribuée. Étant donné que l'effacement de l'indicateur Empêcher la suppression accidentelle peut ne pas effacer automatiquement leDenyqu'Active Directory a appliqué à l'autorisation de suppression de tous les objets enfants, dans le cas d'une unité d'organisation récemment ajoutée, vous devrez peut-être vérifier et effacer manuellement l'autorisationDenydéfinie pour supprimer tous les objets enfants dans l'unité d'organisation et toutes les unités d'organisation enfants avant d'utiliser le compte de jonction de domaine dans la console Horizon Cloud.
Info-bulle : Pour les manifestes d'espace de version 2474.0 ou ultérieure, l'ensemble des autorisations Active Directory requises pour les comptes de jonction de domaine est réduit par rapport à l'ensemble précédent afin d'offrir plus de flexibilité aux locataires. Cependant, le compte de jonction de domaine étant configuré au niveau d'un locataire, le système utilise les mêmes comptes de jonction de domaine dans les opérations liées à la jonction de domaine avec tous les espaces de la flotte de votre locataire. Par conséquent, lorsque votre flotte inclut des espaces de manifestes de version antérieure à la version 2474.0, vous devez vous assurer que vos comptes de jonction de domaine disposent de l'ensemble d'autorisations antérieur requis par ces espaces. Lorsque tous vos espaces Horizon dans Microsoft Azure sont mis à jour vers le manifeste d'espace de version 2474.0 ou ultérieure, vous pouvez adopter le nouvel ensemble réduit d'autorisations Active Directory pour vos comptes de jonction de domaine.
| Accès | S'applique à |
|---|---|
| Toutes les propriétés - accès en lecture | Cet objet uniquement |
| Créer des objets ordinateur | Cet objet et tous les objets descendants |
| Supprimer des objets ordinateur | Cet objet et tous les objets descendants |
| Écrire toutes les propriétés | Objets ordinateur descendants |
| Réinitialiser le mot de passe | Objets ordinateur descendants |
| Accès | S'applique à |
|---|---|
| Contenu de la liste | Cet objet et tous les objets descendants |
| Toutes les propriétés - accès en lecture | Cet objet et tous les objets descendants |
| Créer des objets ordinateur | Cet objet et tous les objets descendants |
| Supprimer des objets ordinateur | Cet objet et tous les objets descendants |
| Écrire toutes les propriétés | Tous les objets descendants |
| Autorisations d'accès en lecture | Cet objet et tous les objets descendants |
| Réinitialiser le mot de passe | Objets ordinateur descendants |
