Vous pouvez utiliser la commande vdmadmin avec l'option -T pour fournir des informations d'identification secondaires Active Directory à des utilisateurs administrateurs.

Syntaxe

vdmadmin -T [-b authentication_arguments] -domainauth
 {-add | -update | -remove | -removeall | -list} -owner domain\user -user domain\user [-password password]

Notes d'utilisation

Si vos utilisateurs et groupes se trouvent dans un domaine avec une relation de confiance unidirectionnelle avec le domaine du Serveur de connexion, vous devez fournir des informations d'identification secondaires aux utilisateurs administrateurs dans Horizon Console. Les administrateurs doivent disposer d'informations d'identification secondaires pour pouvoir accéder aux domaines approuvés unidirectionnels. Un domaine approuvé unidirectionnel peut être un domaine externe ou un domaine dans une approbation de forêt transitive.

Les informations d'identification secondaires sont requises uniquement pour les sessions, pas pour les sessions de poste de travail ou d'application des utilisateurs finaux. Seuls les utilisateurs administrateurs requièrent des informations d'identification secondaires.

La commande vdmadmin vous permet de configurer des informations d'identification secondaires pour chaque utilisateur. Vous ne pouvez pas configurer des informations d'identification secondaires spécifiées globalement.

En général, pour une approbation de forêt, vous configurez des informations d'identification secondaires uniquement pour le domaine racine de forêt. Le Serveur de connexion peut ensuite énumérer les domaines enfants dans l'approbation de forêt.

Les vérifications des heures de verrouillage, de désactivation et d'ouverture de session du compte Active Directory peuvent être effectuées uniquement lorsqu'un utilisateur dans un domaine approuvé unidirectionnel se connecte pour la première fois.

L'administration PowerShell et l'authentification par carte à puce des utilisateurs ne sont pas prises en charge dans les domaines approuvés unidirectionnels. L'authentification SAML des utilisateurs dans des domaines approuvés unidirectionnels n'est pas prise en charge.

Les comptes d'informations d'identification secondaires requièrent les autorisations suivantes. Un compte d'utilisateur standard doit avoir ces autorisations par défaut.

  • Lister le contenu
  • Lire toutes les propriétés
  • Autorisations de lecture
  • Lire tokenGroupsGlobalAndUniversal (sous-entendu par Lire toutes les propriétés)

Limites

  • L'administration PowerShell et l'authentification par carte à puce des utilisateurs dans des domaines approuvés unidirectionnels ne sont pas prises en charge.
  • L'authentification SAML des utilisateurs dans des domaines approuvés unidirectionnels n'est pas prise en charge.

Options

Tableau 1. Options pour fournir des informations d'identification secondaires
Option Description
-add Ajoute des informations d'identification secondaires pour le compte du propriétaire.

Une ouverture de session Windows est effectuée pour vérifier que les informations d'identification spécifiées sont valides. Une entité de sécurité externe est créée pour l'utilisateur dans View LDAP.

-update Met à jour des informations d'identification secondaires pour le compte du propriétaire.

Une ouverture de session Windows est effectuée pour vérifier que les informations d'identification mises à jour sont valides.

-list Affiche les informations d'identification de sécurité pour le compte du propriétaire. Les mots de passe ne sont pas affichés.
-remove Supprime des informations d'identification de sécurité du compte du propriétaire.
-removeall Supprime toutes les informations d'identification de sécurité du compte du propriétaire.

Exemples

Ajoutez des informations d'identification secondaires pour le compte du propriétaire spécifié. Une ouverture de session Windows est effectuée pour vérifier que les informations d'identification spécifiées sont valides.

vdmadmin -T -domainauth -add -owner domain\user -user domain\user -password password

Mettez à jour des informations d'identification secondaires pour le compte du propriétaire spécifié. Une ouverture de session Windows est effectuée pour vérifier que les informations d'identification mises à jour sont valides.

vdmadmin -T -domainauth -update -owner domain\user -user domain\user -password password

Supprimez des informations d'identification secondaires pour le compte du propriétaire spécifié.

vdmadmin -T -domainauth -remove -owner domain\user -user domain\user

Supprimez toutes les informations d'identification secondaires pour le compte du propriétaire spécifié.

vdmadmin -T -domainauth -removeall -owner domain\user

Affichez toutes les informations d'identification secondaires pour le compte du propriétaire spécifié. Les mots de passe ne sont pas affichés.

vdmadmin -T -domainauth -list -owner domain\user