Utilisation de la fonctionnalité Se connecter en tant qu'utilisateur actuel, disponible avec Horizon Client pour Windows

Avec Horizon Client pour Windows, lorsque des utilisateurs sélectionnent Se connecter en tant qu'utilisateur actuel dans le menu Options, les informations d'identification qu'ils fournissent lors de l'ouverture de session sur le système client sont utilisées pour les authentifier sur l'instance d'Horizon Connection Server et sur le poste de travail distant à l'aide de Kerberos. Aucune autre authentification d'utilisateur n'est requise.

Pour prendre en charge cette fonction, les informations d’identification utilisateur sont stockées sur l’instance du Serveur de connexion et sur le système client.

Sur l’instance du Serveur de connexion, les informations d’identification utilisateur sont chiffrées et stockées dans la session utilisateur avec le nom d'utilisateur, le domaine et le nom d’utilisateur principal (UPN) facultatif. Les informations d'identification sont ajoutées lors de l'authentification et sont supprimées lors de la destruction de l'objet de session. L'objet de session est détruit quand l'utilisateur ferme sa session, quand la session expire ou quand l'authentification échoue. L’objet de session réside dans une mémoire volatile et n’est pas stocké dans Horizon LDAP ou dans un fichier de disque.
Sur l'instance du Serveur de connexion, activez le paramètre Autoriser l'ouverture de session en tant qu'utilisateur actuel pour permettre à l'instance du Serveur de connexion d'accepter l'identité et les informations d'identification utilisateur qui sont transmises lorsque les utilisateurs sélectionnent Se connecter en tant qu'utilisateur actuel dans le menu Options dans Horizon Client.
Important : Vous devez comprendre les risques de sécurité avant d'activer ce paramètre. Consultez la section « Paramètres de serveur liés à la sécurité pour l'authentification utilisateur » dans le document Sécurité d'Horizon.
Sur le système client, les informations d'identification d'utilisateur sont chiffrées et stockées dans un tableau dans Authentication Package, qui est un composant d'Horizon Client. Les informations d'identification sont ajoutées au tableau quand l'utilisateur ouvre une session et sont supprimées du tableau quand l'utilisateur ferme sa session. Le tableau réside dans la mémoire volatile.
Lorsque vous sélectionnez Autoriser l'ouverture de session en tant qu'utilisateur actuel, vous pouvez activer les paramètres utilisateur suivants :
- Autoriser les clients hérités : prise en charge des clients plus anciens. Les versions 2006 et 5.4, et les versions antérieures d'Horizon Client sont considérées comme des clients plus anciens.
- Autoriser le recours NTLM : utilise l'authentification NTLM au lieu de Kerberos lorsqu'il n'existe aucun accès au contrôleur de domaine. Vous devez activer les paramètres de stratégie de groupe NTLM dans la configuration d'Horizon Client.
- Désactiver les liaisons de canal : couche de sécurité supplémentaire permettant de sécuriser l'authentification NTLM. Par défaut, les liaisons de canal sont activées sur le client.
- Intégration de l'authentification unique réelle : activez ce paramètre sur le Serveur de connexion pour autoriser SSO sur le poste de travail à l'aide de l'authentification unique réelle. Par exemple, en mode imbriqué, l'authentification unique réelle permet de se connecter à un client imbriqué, puis une connexion de poste de travail secondaire est effectuée. Pour plus d'informations sur le mode imbriqué, reportez-vous à la section Guide d'installation et de configuration de VMware Horizon Client pour Windows.
  - Désactivé : l'utilisateur doit entrer des informations de connexion si le client n'a pas reçu d'informations d'identification d'ouverture de session.
  - Facultatif : les informations d'identification du client sont utilisées, le cas échéant. Sinon l'authentification unique réelle est utilisée. Il s'agit du paramètre recommandé si les options Authentification unique réelle et Connexion en tant qu'utilisateur actuel sont activées.
  - Activé : l'authentification unique réelle est utilisée pour se connecter au poste de travail.

Les administrateurs peuvent utiliser des paramètres de stratégie de groupe Horizon Client pour contrôler la disponibilité du paramètre Se connecter en tant qu'utilisateur actuel dans le menu Options et pour spécifier sa valeur par défaut. Les administrateurs peuvent également utiliser une stratégie de groupe pour spécifier les instances du Serveur de connexion qui acceptent l’identité et les informations d'identification de l’utilisateur qui sont transmises lorsque celui-ci sélectionne Se connecter en tant qu'utilisateur actuel dans Horizon Client.

La fonction de déverrouillage récursif est activée lorsqu’un utilisateur se connecte au Serveur de connexion avec la fonction Se connecter en tant qu’utilisateur actuel. Cette fonctionnalité déverrouille toutes les sessions distantes après que la machine cliente a été déverrouillée. Les administrateurs peuvent contrôler la fonction de déverrouillage récursif avec le paramètre de stratégie globale Déverrouiller les sessions distantes lorsque la machine cliente est déverrouillée dans Horizon Client. Pour plus d’informations sur les paramètres de stratégie globale pour Horizon Client, consultez la documentation Horizon Client dans la page Web de la documentation des clients VMware Horizon Client.

Note : La fonctionnalité de déverrouillage récursif peut être lente lorsque vous utilisez l'option Se connecter en tant qu'utilisateur actuel avec l'authentification NTLM si Horizon Client ne peut pas accéder aux contrôleurs de domaine. Pour atténuer ce problème, activez le paramètre de stratégie de groupe Toujours utiliser NTLM pour les serveurs dans le dossier Configuration de VMware Horizon Client > Paramètres de sécurité > Paramètres NTLM dans l'Éditeur de gestion de stratégie de groupe.

La fonction Se connecter en tant qu'utilisateur actuel a les limites et exigences suivantes :

Lorsque l’authentification par carte à puce est requise sur une instance du Serveur de connexion, l’authentification échoue pour les utilisateurs qui sélectionnent Se connecter en tant qu'utilisateur actuel lorsqu’ils se connectent à cette instance. Ces utilisateurs doivent s’authentifier à nouveau avec leur carte à puce et leur code PIN lorsqu’ils se connectent au Serveur de connexion.
L’heure du système sur lequel le client se connecte et l’heure de l'hôte du Serveur de connexion doivent être synchronisées.
Si les affectations de droits d'usage par défaut Accéder à cet ordinateur à partir du réseau sont modifiées sur le système client, elles doivent être modifiées comme indiqué dans l'article 1025691 de la base de connaissances de VMware.