Horizon Cloud requiert l'utilisation de deux comptes dans votre domaine Active Directory (AD) en tant que comptes de service. Cette rubrique décrit les conditions requises que ces deux comptes doivent remplir.
Horizon Cloud requiert que vous spécifiiez deux comptes AD à utiliser comme ces deux comptes de service.
- Compte de liaison de domaine utilisé pour effectuer des recherches dans votre domaine AD.
- Compte de jonction de domaine utilisé pour joindre des comptes d'ordinateurs au domaine et effectuer des opérations Sysprep.
La console d'administration permet de fournir les informations d'identification de ces comptes à Horizon Cloud.
Vous devez vous assurer que les comptes Active Directory que vous spécifiez pour ces comptes de service répondent aux conditions requises qu'Horizon Cloud exige pour ses opérations.
Conditions requises de compte de liaison de domaine
- Le compte de liaison de domaine ne peut pas expirer, être modifié ou bloqué. Vous devez utiliser ce type de configuration de compte, car le système utilise le compte de liaison de domaine principal comme compte de service pour interroger Active Directory. Si le compte de liaison de domaine principal devient inaccessible pour une raison quelconque, le système utilise le compte de liaison de domaine auxiliaire. Si les comptes de liaison de domaines principal et auxiliaire expirent ou ne sont plus accessibles, vous ne pouvez pas vous connecter à la console d'administration et mettre à jour la configuration.
Important : Si les comptes de liaison de domaines principal et auxiliaire expirent ou ne sont plus accessibles, vous ne pouvez pas vous connecter à la console d'administration et mettre à jour la configuration avec les informations du compte de liaison de domaine actif. Si vous ne définissez pas l'option N'expire jamais dans les comptes de liaison de domaine principal et auxiliaire, vous devez les configurer pour qu'ils aient des délais d'expiration différents. Vous devez effectuer le suivi à mesure que le délai d'expiration approche et mettre à jour les informations du compte de liaison de domaine Horizon Cloud avant l'expiration du délai.
- Le compte de liaison de domaine requiert l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut pas contenir l'un des caractères suivants : " / \ [ ] : ; | = , + * ? < >
- Au minimum, le compte de liaison de domaine doit disposer des autorisations de lecture qui peuvent rechercher les comptes AD de toutes les unités d'organisation AD que vous prévoyez d'utiliser dans les opérations DaaS (Desktop-as-a-Service) qu'Horizon Cloud fournit, telles que l'attribution de machines virtuelles de postes de travail à vos utilisateurs finaux. Le compte de liaison de domaine doit pouvoir énumérer les objets depuis Active Directory.
Important :
- Les paramètres par défaut classiques dans Active Directory permettent à un compte d'utilisateur de domaine standard d'effectuer cette énumération. En revanche, si vous avez limité l'autorisation de sécurité dans Active Directory, vous devez vérifier que le compte de liaison de domaine dispose des autorisations de lecture pour l'ensemble des unités d'organisation et des objets que vous utilisez avec Horizon Cloud.
- Le rôle Super administrateur est toujours attribué au compte de liaison de domaine, ce qui accorde toutes les autorisations pour effectuer des actions de gestion dans la console d'administration. Vous devez vous assurer que le compte de liaison de domaine n'est pas accessible aux utilisateurs qui ne doivent pas disposer des autorisations de super administrateur.
Configurations requises de compte de jonction de domaine
- Le compte de jonction de domaine ne peut pas être modifié ou bloqué.
- Veillez à remplir au moins l'un des critères suivants :
- Dans Active Directory, définissez le compte de jonction de domaine sur N'expire jamais.
- Vous pouvez également configurer un compte de jonction de domaine auxiliaire qui possède un délai d'expiration différent de celui du premier compte de jonction de domaine. Si vous choisissez cette méthode, vérifiez que le compte de jonction de domaine auxiliaire répond aux mêmes conditions requises que le compte de jonction de domaine principal que vous avez configuré dans la console d'administration.
Attention : Si le compte de jonction de domaine expire et qu'aucun compte de jonction de domaine auxiliaire actif n'est configuré, les opérations d' Horizon Cloud de fermeture des images et de provisionnement des machines virtuelles RDSH de batterie de serveurs et de postes de travail VDI échoueront. - Le compte de jonction de domaine requiert l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut pas contenir l'un des caractères suivants : " / \ [ ] : ; | = , + * ? < >
- Le compte de jonction de domaine requiert les autorisations AD dans la liste suivante.
Important : Certaines des autorisations AD de la liste sont généralement attribuées par défaut par Active Directory à des comptes. En revanche, si vous avez limité l'autorisation de sécurité dans Active Directory, vous devez vérifier que le compte de jonction de domaine dispose de ces autorisations de lecture pour l'ensemble des unités d'organisation et des objets que vous prévoyez d'utiliser avec Horizon Cloud.
Le système effectue des vérifications d'autorisations explicites dans le compte de jonction de domaine à l'intérieur de l'unité d'organisation que vous spécifiez dans le workflow d'enregistrement d'Active Directory (dans la zone de texte Unité d'organisation par défaut de ce workflow) et dans les unités d'organisation que vous spécifiez dans les batteries de serveurs et dans les attributions de poste de travail VDI que vous créez, si les zones de texte Unité d'organisation de l'ordinateur de ces batteries de serveurs et attributions de poste de travail VDI sont différentes de l'unité d'organisation par défaut dans l'enregistrement d'Active Directory.
Pour couvrir ces cas où vous ne pouvez jamais utiliser une sous-unité d'organisation, il est recommandé de définir ces autorisations pour les appliquer à tous les objets descendants de l'unité d'organisation de l'ordinateur. Les autorisations AD requises sur le compte de jonction de domaine sont indiquées dans le tableau ci-dessous.
Accès S'applique à Lister le contenu Cet objet et tous les objets descendants Lire toutes les propriétés Cet objet et tous les objets descendants Écrire toutes les propriétés Tous les objets descendants Autorisations de lecture Cet objet et tous les objets descendants Réinitialiser le mot de passe Objets ordinateur descendants Créer des objets ordinateur Cet objet et tous les objets descendants Supprimer des objets ordinateur Cet objet et tous les objets descendants
Bien que vous puissiez définir l'autorisation Contrôle total au lieu de définir toutes les autorisations séparément, il est toujours recommandé de les définir séparément.
- Lister le contenu
- Lire toutes les propriétés
- Écrire toutes les propriétés
- Autorisations de lecture
- Réinitialiser le mot de passe
- Créer des objets ordinateur
- Supprimer des objets ordinateur