各接続サーバ ホストは、Active Directory ドメインに参加させる必要があります。ホストをドメイン コントローラにすることはできません。

Active Directory は、Horizon Agent マシン(単一ユーザーのマシンや RDS ホストなど)や Horizon 7 展開環境のユーザーおよびグループも管理します。Horizon Administrator では、リモート デスクトップおよびアプリケーションに対する資格をユーザーやグループに付与したり、管理者となるユーザーやグループを選択したりできます。

Horizon Agent マシン、View Composer Server、およびユーザーやグループを次の Active Directory ドメインに配置できます。

  • 接続サーバ ドメイン
  • 接続サーバ ドメインとの双方向の信頼関係がある別のドメイン
  • 一方向の外部またはレルムの信頼関係で接続サーバ ドメインによって信頼されている、接続サーバ ドメインとは異なるフォレスト内のドメイン
  • 一方向または双方向の推移的なフォレストの信頼関係で接続サーバ ドメインによって信頼されている、接続サーバ ドメインとは異なるフォレスト内のドメイン

ユーザーは、Active Directory を使用して接続サーバのドメインに対して認証され、さらに信頼契約の存在する追加ユーザー ドメインがある場合はそのドメインに対しても認証されます。

ユーザーやグループが一方向で信頼されているドメインにある場合、Horizon Administrator の管理者ユーザーに 2 番目の認証情報を提供する必要があります。2 番目の認証情報がないと、管理者は一方向で信頼されているドメインへのアクセス権を付与できません。一方向で信頼されているドメインは、外部ドメインまたは推移的なフォレストの信頼のドメインになります。

2 番目の認証情報は、エンド ユーザーのデスクトップまたはアプリケーション セッションではなく、Horizon Administrator セッションでのみ必要になります。2 番目の認証情報が必要なのは管理者ユーザーだけです。

vdmadmin -T コマンドを使用して、2 番目の認証情報を指定できます。

  • 個々の管理者ユーザーに 2 番目の認証情報を構成します。
  • フォレストの信頼の場合、フォレストのルート ドメインに 2 番目の認証情報を構成できます。こうすることで、接続サーバはフォレストの信頼の子ドメインを列挙できるようになります。

詳細については、『Horizon 7 の管理』ドキュメントの「-T オプションを使用した、管理者の 2 番目の認証情報の指定」を参照してください。

ユーザーのスマート カードと SAML 認証は、一方向の信頼ドメインでサポートされていません。

注: : セキュリティ サーバは、認証リポジトリ(Active Directory など)にアクセスしないため、Active Directory ドメイン内に存在する必要はありません。