Vous devez associer chaque hôte du Serveur de connexion à un domaine Active Directory. L'hôte ne doit pas être un contrôleur de domaine.
Active Directory gère également les machines Horizon Agent, notamment les machines mono-utilisateur et les hôtes RDS, ainsi que les utilisateurs et les groupes dans votre déploiement d'VMware Horizon 8. Vous pouvez autoriser des utilisateurs et des groupes à accéder à des applications et des postes de travail distants. Vous pouvez également sélectionner des utilisateurs et des groupes comme administrateurs dans VMware Horizon 8.
Vous pouvez placer des machines Horizon Agent, ainsi que des utilisateurs et des groupes dans les domaines Active Directory suivants :
- Le domaine du Serveur de connexion
- Un domaine différent ayant une relation de confiance bidirectionnelle avec le domaine du Serveur de connexion
- Un domaine dans une forêt différente de celle du domaine du Serveur de connexion qui est approuvée par le domaine du Serveur de connexion dans une relation de confiance unidirectionnelle externe ou de domaine
- Un domaine dans une forêt différente de celle du domaine du Serveur de connexion qui est approuvée par le domaine du Serveur de connexion dans une relation de confiance de forêt transitive unidirectionnelle ou bidirectionnelle
- Domaines non approuvés
Les utilisateurs sont authentifiés à l'aide d'Active Directory par le domaine du Serveur de connexion, par des domaines d'utilisateurs supplémentaires avec lesquels un accord d'approbation existe et par des domaines non approuvés.
Si vos utilisateurs et vos groupes se trouvent dans des domaines approuvés unidirectionnels, vous devez fournir des informations d'identification secondaires pour les utilisateurs administrateurs dans Horizon Console. Les administrateurs doivent disposer d'informations d'identification secondaires pour pouvoir accéder aux domaines approuvés unidirectionnels. Un domaine approuvé unidirectionnel peut être un domaine externe ou un domaine dans une approbation de forêt transitive.
Les informations d'identification secondaires sont requises uniquement pour les sessions Horizon Console, pas pour les sessions de poste de travail ou d'application des utilisateurs finaux. Seuls les utilisateurs administrateurs requièrent des informations d'identification secondaires.
Vous pouvez fournir des informations d'identification secondaires en utilisant la commande vdmadmin -T.
- Vous configurez des informations d'identification secondaires pour des utilisateurs administrateurs individuels.
- Pour une approbation de forêt, vous pouvez configurer des informations d'identification secondaires pour le domaine racine de forêt. Le Serveur de connexion peut ensuite énumérer les domaines enfants dans l'approbation de forêt.
Pour plus d'informations, reportez-vous à la section « Fournir des informations d'identification secondaires aux administrateurs à l'aide de l'option -T » dans le document Administration d'Horizon 8.
L'authentification par carte à puce et SAML des utilisateurs n'est pas prise en charge dans les domaines approuvés unidirectionnels.
L'accès non authentifié n'est pas pris en charge dans un environnement d'approbation unidirectionnelle lors de l'authentification d'un utilisateur à partir d'un domaine approuvé. Par exemple, il existe deux domaines : domaine A et domaine B, où celui-ci dispose d'une approbation sortante unidirectionnelle vers le domaine A. Lorsque vous activez l'accès non authentifié sur le Serveur de connexion dans le domaine B et que vous ajoutez un utilisateur d'accès non authentifié d'une liste d'utilisateurs dans le domaine A, puis que vous autorisez l'utilisateur non authentifié à accéder à un pool de postes de travail ou d'applications publiés, l'utilisateur ne peut pas se connecter en tant qu'utilisateur d'accès non authentifié depuis Horizon Client.
La fonctionnalité Ouvrir une session en tant qu'utilisateur actuel dans Horizon Client pour Windows est prise en charge dans les domaines approuvés unidirectionnels.
Domaines non approuvés
Un domaine dans une forêt différente de celle du domaine du Serveur de connexion qui n'a aucune relation de confiance formelle avec le domaine du Serveur de connexion est une relation de domaine non approuvé. Pour une relation de domaine non approuvé, les utilisateurs sont authentifiés à l'aide des informations d'identification du compte de liaison de domaine principal. Les utilisateurs peuvent être authentifiés avec des comptes de liaison de domaine auxiliaires uniquement si le compte de liaison de domaine principal est inaccessible. Pour plus d'informations sur la configuration de domaines non approuvés, reportez-vous à la section « Configuration de domaines non approuvés » dans le document Administration d'Horizon 8.
- Ouvrir une session en tant qu'utilisateur actuel
- Commandes vdmadmin
- Ajout d'un utilisateur administrateur pour un domaine non approuvé
- IPv6
- Identifier un utilisateur AD ne disposant pas d'un nom d'utilisateur principal (UPN) AD