各 Connection Server ホストは、Active Directory ドメインに参加させる必要があります。ホストをドメイン コントローラにすることはできません。
Active Directory は、Horizon Agent マシン(単一ユーザーのマシンや RDS ホストなど)や Horizon 7 展開環境のユーザーおよびグループも管理します。Horizon Administrator では、リモート デスクトップおよびアプリケーションに対する資格をユーザーやグループに付与したり、管理者となるユーザーやグループを選択したりできます。
Horizon Agent マシン、View Composer Server、およびユーザーやグループを次の Active Directory ドメインに配置できます。
- Connection Server ドメイン
- Connection Server ドメインとの双方向の信頼関係がある別のドメイン
- 一方向の外部またはレルムの信頼関係で Connection Server ドメインによって信頼されている、Connection Server ドメインとは異なるフォレスト内のドメイン
- 一方向または双方向の推移的なフォレストの信頼関係で Connection Server ドメインによって信頼されている、Connection Server ドメインとは異なるフォレスト内のドメイン
ユーザーは、Active Directory を使用して Connection Server のドメインに対して認証され、さらに信頼契約の存在する追加ユーザー ドメインがある場合はそのドメインに対しても認証されます。
ユーザーやグループが一方向で信頼されているドメインにある場合、Horizon Administrator の管理者ユーザーに 2 番目の認証情報を提供する必要があります。2 番目の認証情報がないと、管理者は一方向で信頼されているドメインへのアクセス権を付与できません。一方向で信頼されているドメインは、外部ドメインまたは推移的なフォレストの信頼のドメインになります。
2 番目の認証情報は、エンド ユーザーのデスクトップまたはアプリケーション セッションではなく、Horizon Administrator セッションでのみ必要になります。2 番目の認証情報が必要なのは管理者ユーザーだけです。
vdmadmin -T コマンドを使用して、2 番目の認証情報を指定できます。
- 個々の管理者ユーザーに 2 番目の認証情報を構成します。
- フォレストの信頼の場合、フォレストのルート ドメインに 2 番目の認証情報を構成できます。こうすることで、Connection Server はフォレストの信頼の子ドメインを列挙できるようになります。
詳細については、Horizon 7 の管理ドキュメントの「-T オプションを使用した、管理者の 2 番目の認証情報の指定」を参照してください。
ユーザーのスマート カードと SAML 認証は、一方向の信頼ドメインでサポートされていません。
信頼されたドメインからユーザーを認証する場合、一方向の信頼環境で非認証アクセスはサポートされません。たとえば、ドメイン A とドメイン B の 2 つのドメインがあり、ドメイン B にはドメイン A への一方向の信頼関係があるとします。ドメイン B の Connection Server で非認証アクセスを有効にして、ドメイン A のユーザー リストから非認証アクセス ユーザーを追加し、非認証ユーザーに公開デスクトップまたはアプリケーション プールの使用資格を付与すると、ユーザーは Horizon Client から非認証アクセス ユーザーとしてログインできなくなります。
Horizon 7 バージョン 7.10 以降では、Horizon Client for Windows の「現在のユーザーとしてログイン」機能は、一方向の信頼ドメインでサポートされます。