デフォルトでは、自動デスクトップ プール、手動デスクトップ プールおよびファームは、Horizon Administrator に / または Root (/) で表示されるルート アクセス グループ内に作成されます。公開デスクトップ プールおよびアプリケーション プールでは、そのファームのアクセス グループが継承されます。ルート アクセス グループの下にアクセス グループを作成し、別の管理者に特定のプールやファームの管理を委任することができます。

注: : 公開デスクトップ プールまたはアプリケーション プールのアクセス グループを直接変更することはできません。公開デスクトップ プールまたはアプリケーション プールが属するファームのアクセス グループを変更する必要があります。

仮想または物理マシンでは、そのデスクトップ プールからアクセス グループが継承されます。接続された通常ディスクでは、そのマシンからアクセス グループが継承されます。ルート アクセス グループを含む最大 100 のアクセス グループを保持できます。

アクセス グループの管理者にロールを割り当てることにより、そのアクセス グループのリソースへの管理者アクセスを構成することができます。管理者は、ロールを割り当てられているアクセス グループのみに存在するリソースにアクセスできます。管理者が持つアクセス グループに対するロールによって、そのアクセス グループのリソースに対するアクセス レベルが決定されます。

ロールは、ルート アクセス グループから継承されるため、ルート アクセス グループに対するロールを持つ管理者は、すべてのアクセス グループに対してそのロールを持つことになります。ルート アクセス グループに対する管理者ロールを持つ管理者は、システムのすべてのオブジェクトに対するフル アクセス権を持つため、スーパー管理者になります。

ロールには、アクセス グループに適用する少なくとも 1 つのオブジェクト固有権限が含まれている必要があります。グローバル権限のみを含むロールはアクセス グループに適用できません。

Horizon Administrator を使用してアクセス グループを作成し、既存のデスクトップ プールをアクセス グループに移動することができます。自動デスクトップ プール、手動プールまたはファームを作成する場合、デフォルトのルート アクセス グループを受け入れるか、または別のアクセス グループを選択できます。

注: : VMware Identity Manager からデスクトップとアプリケーションへのアクセスを提供しようとしている場合、Horizon Administrator のルート アクセス グループで Administrators ロールを持つユーザーとしてデスクトップ プールとアプリケーション プールを作成していることを確認します。ルート アクセス グループ以外で Administrators ロールをユーザーに付与すると、 VMware Identity Manager は、 Horizon 7 で構成する SAML 認証システムを認識せず、 VMware Identity Manager でプールを構成できません。