Horizon Cloud requiert l'utilisation de deux comptes dans votre domaine Active Directory (AD) en tant que comptes de service. Cette rubrique décrit les conditions requises que ces deux comptes doivent remplir.
Horizon Cloud requiert que vous spécifiiez deux comptes AD à utiliser comme ces deux comptes de service.
- Compte de liaison de domaine utilisé pour effectuer des recherches dans votre domaine AD.
- Compte de jonction de domaine utilisé pour joindre des comptes d'ordinateurs au domaine et effectuer des opérations Sysprep.
Note : Pour les espaces dans Microsoft Azure, le système utilise le compte de jonction de domaine dans les opérations qui nécessitent la jonction de machines virtuelles au domaine, comme lorsque vous importez une image depuis Microsoft Azure Marketplace, créez des instances RDSH de batterie de serveurs, créez des instances de poste de travail VDI, etc.
La console d'administration basée sur le cloud permet de fournir les informations d'identification de ces comptes à Horizon Cloud.
Vous devez vous assurer que les comptes Active Directory que vous spécifiez pour ces comptes de service répondent aux conditions requises qu'Horizon Cloud exige pour ses opérations.
Conditions requises de compte de liaison de domaine
- Le compte de liaison de domaine ne peut pas expirer, être modifié ou bloqué. Vous devez utiliser ce type de configuration de compte, car le système utilise le compte de liaison de domaine principal comme compte de service pour interroger Active Directory. Si le compte de liaison de domaine principal devient inaccessible pour une raison quelconque, le système utilise le compte de liaison de domaine auxiliaire. Si les comptes de liaison de domaines principal et auxiliaire expirent ou ne sont plus accessibles, vous ne pouvez pas vous connecter à la console basée sur le cloud et mettre à jour la configuration.
Important : Si les comptes de liaison de domaines principal et auxiliaire expirent ou ne sont plus accessibles, vous ne pouvez pas vous connecter à la console et mettre à jour la configuration avec les informations du compte de liaison de domaine actif. Si vous ne définissez pas l'option N'expire jamais dans les comptes de liaison de domaine principal et auxiliaire, vous devez les configurer pour qu'ils aient des délais d'expiration différents. Vous devez effectuer le suivi à mesure que le délai d'expiration approche et mettre à jour les informations du compte de liaison de domaine Horizon Cloud avant l'expiration du délai.
- Le compte de liaison de domaine requiert l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut pas contenir l'un des caractères suivants : " / \ [ ] : ; | = , + * ? < >
- Le compte de liaison de domaine doit disposer des autorisations de lecture qui peuvent rechercher les comptes AD de toutes les unités d'organisation AD que vous prévoyez d'utiliser dans les opérations DaaS (Desktop-as-a-Service) qu'Horizon Cloud fournit, telles que l'attribution de machines virtuelles de postes de travail à vos utilisateurs finaux. Le compte de liaison de domaine doit pouvoir énumérer les objets depuis Active Directory. Le compte de liaison de domaine exige les autorisations suivantes sur l'ensemble des unités d'organisation et des objets que vous prévoyez d'utiliser avec Horizon Cloud :
- Contenu de la liste
- Toutes les propriétés - accès en lecture
- Autorisations d'accès en lecture
- tokenGroupsGlobalAndUniversal - accès en lecture (sous-entendu par l'autorisation Toutes les propriétés - accès en lecture)
Important : En règle générale, les comptes de liaison de domaine doivent se voir accorder les autorisations prêtes à l'emploi qui sont liées à l'accès en lecture par défaut et qui sont généralement accordées aux Utilisateurs authentifiés dans un déploiement Microsoft Active Directory. Dans un déploiement de Microsoft Active Directory prêt à l'emploi, ces paramètres par défaut accordés aux Utilisateurs authentifiés donnent en général à un compte d'utilisateur de domaine standard la possibilité d'effectuer l'énumération requise dont Horizon Cloud a besoin pour le compte de liaison de domaine. Cependant, si les administrateurs AD de votre organisation ont choisi de verrouiller les autorisations liées à l'accès en lecture pour les utilisateurs standard, vous devez demander aux administrateurs AD de conserver les valeurs standard par défaut des utilisateurs authentifiés pour les comptes de liaison de domaine que vous utiliserez pour Horizon Cloud. - Le rôle Super administrateur est toujours attribué au compte de liaison de domaine, ce qui accorde toutes les autorisations pour effectuer des actions de gestion dans la console. Vous devez vous assurer que le compte de liaison de domaine n'est pas accessible aux utilisateurs qui ne doivent pas disposer des autorisations de super administrateur.
Configurations requises de compte de jonction de domaine
- Le compte de jonction de domaine ne peut pas être modifié ou bloqué.
- Veillez à remplir au moins l'un des critères suivants :
- Dans Active Directory, définissez le compte de jonction de domaine sur N'expire jamais.
- Vous pouvez également configurer un compte de jonction de domaine auxiliaire qui possède un délai d'expiration différent de celui du premier compte de jonction de domaine. Si vous choisissez cette méthode, vérifiez que le compte de jonction de domaine auxiliaire répond aux mêmes conditions requises que le compte de jonction de domaine principal que vous avez configuré dans la console.
Attention : Si le compte de jonction de domaine expire et qu'aucun compte de jonction de domaine auxiliaire actif n'est configuré, les opérations d' Horizon Cloud de fermeture des images et de provisionnement des machines virtuelles RDSH de batterie de serveurs et de postes de travail VDI échoueront. - Le compte de jonction de domaine requiert l'attribut sAMAccountName. La longueur de l'attribut sAMAccountName ne doit pas dépasser 20 caractères et il ne peut pas contenir l'un des caractères suivants : " / \ [ ] : ; | = , + * ? < >
- Les noms d'utilisateur pour le compte de jonction de domaine ne peuvent pas contenir d'espaces blancs.
- Le compte de jonction de domaine requiert les autorisations AD dans la liste suivante.
Important :
- Certaines des autorisations AD de la liste sont généralement attribuées par défaut par Active Directory à des comptes. En revanche, si vous avez limité l'autorisation de sécurité dans Active Directory, vous devez vérifier que le compte de jonction de domaine dispose de ces autorisations de lecture pour l'ensemble des unités d'organisation et des objets que vous prévoyez d'utiliser avec Horizon Cloud.
- Dans Microsoft Active Directory, lorsque vous créez une unité d'organisation, le système peut définir automatiquement l'attribut
Prevent Accidental Deletion
qui applique unDeny
à l'autorisation Supprimer tous les objets enfants de l'unité d'organisation récemment créée et de tous les objets descendants. Par conséquent, si vous avez explicitement attribué l'autorisation Supprimer des objets de l'ordinateur au compte de jonction de domaine, dans le cas d'une unité d'organisation récemment créée, Active Directory peut avoir appliqué un remplacement à cette autorisation de suppression d'objets de l'ordinateur explicitement attribuée. Étant donné que l'effacement de l'indicateur Empêcher la suppression accidentelle peut ne pas effacer automatiquement leDeny
qu'Active Directory a appliqué à l'autorisation de suppression de tous les objets enfants, dans le cas d'une unité d'organisation récemment ajoutée, vous devrez peut-être vérifier et effacer manuellement l'autorisationDeny
définie pour supprimer tous les objets enfants dans l'unité d'organisation et toutes les unités d'organisation enfants avant d'utiliser le compte de jonction de domaine dans la console Horizon Cloud.
Le système effectue des vérifications d'autorisations explicites dans le compte de jonction de domaine à l'intérieur de l'unité d'organisation que vous spécifiez dans le workflow d'enregistrement d'Active Directory (dans la zone de texte Unité d'organisation par défaut de ce workflow) et dans les unités d'organisation que vous spécifiez dans les batteries de serveurs et dans les attributions de poste de travail VDI que vous créez, si les zones de texte Unité d'organisation de l'ordinateur de ces batteries de serveurs et attributions de poste de travail VDI sont différentes de l'unité d'organisation par défaut dans l'enregistrement d'Active Directory.
Pour couvrir ces cas où vous ne pouvez jamais utiliser une sous-unité d'organisation, il est recommandé de définir ces autorisations pour les appliquer à tous les objets descendants de l'unité d'organisation de l'ordinateur. Les autorisations AD requises sur le compte de jonction de domaine sont indiquées dans le tableau ci-dessous.
Accès S'applique à Contenu de la liste Cet objet et tous les objets descendants Toutes les propriétés - accès en lecture Cet objet et tous les objets descendants Écrire toutes les propriétés Tous les objets descendants Autorisations d'accès en lecture Cet objet et tous les objets descendants Réinitialiser le mot de passe Objets ordinateur descendants Créer des objets ordinateur Cet objet et tous les objets descendants Supprimer des objets ordinateur Cet objet et tous les objets descendants
Bien que vous puissiez définir l'autorisation Contrôle total au lieu de définir toutes les autorisations séparément, il est toujours recommandé de les définir séparément.
- Contenu de la liste
- Toutes les propriétés - accès en lecture
- Écrire toutes les propriétés
- Autorisations d'accès en lecture
- Réinitialiser le mot de passe
- Créer des objets ordinateur
- Supprimer des objets ordinateur