ID プロバイダを構成したら、オンプレミスの Active Directory に 2 つのドメイン バインドと 2 つのドメイン参加アカウントを作成します。後で、Horizon Universal Console を使用して、これらのアカウントの詳細を Horizon Cloud に提供します。
Horizon Cloud では、サービス アカウントとして使用する次の Active Directory アカウントの 2 つのインスタンスを指定する必要があります。
- AD ドメイン内の検索を実行するために使用するドメイン バインド アカウント。
- コンピュータ アカウントをドメインに参加させ、コンピュータ アカウントをドメインから削除し、Sysprep 処理を実行するために使用するドメイン参加アカウント
これらのサービス アカウントに指定する Active Directory アカウントについては、次のガイドラインに従ってください。
- プライマリと補助の両方のドメイン バインド アカウントが期限切れになるか、アクセス不能になると、シングル サインオンは機能せず、新しいデスクトップに参加できません。プライマリまたは補助ドメイン バインド アカウントで [有効期限なし] を設定しない場合、両方に異なる有効期限を設定する必要があります。有効期限が近くなったら常に追跡しながら、有効期限の時刻に達する前に Horizon Cloud ドメイン バインド アカウント情報を更新する必要があります。
- プライマリ ドメインと補助ドメインの両方のドメイン参加アカウントが期限切れになるかアクセス不能になると、シングル サインオンが機能せず、新しいデスクトップに参加できなくなります。プライマリまたは補助ドメイン参加アカウントで [有効期限なし] を設定しない場合、両方に異なる有効期限を設定する必要があります。有効期限が近くなったら常に追跡しながら、有効期限の時刻に達する前に Horizon Cloud ドメイン参加アカウント情報を更新する必要があります。
ドメイン バインド アカウント - 必須の Active Directory 権限
ドメイン バインド アカウントには読み取り権限が付与されている必要があります。Horizon Cloud のサービスとしてのデスクトップ操作でエンド ユーザーへのデスクトップ仮想マシンの割り当てなどの操作を行う際など、Active Directory 組織単位 (OU) の Active Directory アカウントをすべて検索できる機能を使用されることが想定されます。ドメイン バインド アカウントには、Active Directory からオブジェクトを列挙する機能が必要です。ドメイン バインド アカウントには、Horizon Cloud での使用が予想されるすべての OU およびオブジェクトに対する次の権限が必要です。
- コンテンツの一覧表示
- すべてのプロパティの読み取り
- アクセス許可の読み取り
- tokenGroupsGlobalAndUniversal の読み取り([すべてのプロパティの読み取り] 権限により暗黙に含まれる)
ドメイン参加アカウント - 必須の Active Directory 権限
ドメイン参加アカウントは、テナント レベルで構成されます。テナントのフリート内のすべてのポッドで、ドメイン参加関連のすべての操作のために、Active Directory 登録で構成されている同じドメイン参加アカウントがシステムによって使用されます。
システムは、ファームと VDI デスクトップ割り当ての [コンピュータの組織単位 (OU)] テキスト ボックスが Active Directory 登録のデフォルトの OU と異なる場合、Active Directory 登録ワークフロー(そのワークフローの [デフォルトの組織単位 (OU)] テキスト ボックス)で指定する OU 内、および作成するファームおよび VDI デスクトップ割り当てで指定する OU 内のドメイン参加アカウントに対する明示的な権限チェックを実行します。
下位の OU を使用するケースにも対応するため、ベスト プラクティスとして、これらの必須のアクセス権限をコンピュータの組織単位のすべての子孫オブジェクトに適用するように設定します。
- ここに挙げる AD 権限の一部は通常、Active Directory により、デフォルトで アカウントに割り当てられます。ただし、Active Directory のセキュリティ許可を制限している場合、Horizon Cloud で使用すると予想されるすべての OU およびオブジェクトの権限についての記述を、ドメイン バインド アカウントが必ず読むようにする必要があります。
- Microsoft Active Directory では、新しい組織単位 (OU) を作成するときに、システムは、新しく作成された OU およびすべての子孫オブジェクトの [すべての子オブジェクトの削除] 権限に
Deny
を適用するPrevent Accidental Deletion
属性を自動的に設定する場合があります。その結果、ドメイン参加アカウントに [コンピュータ オブジェクトの削除] 権限を明示的に割り当てた場合、新しく作成された OU の場合、Active Directory は、明示的に割り当てられた [コンピュータ オブジェクトの削除] 権限に上書きを適用した可能性があります。[誤削除の防止] フラグをオフにしても、Active Directory が [すべての子オブジェクトの削除] 権限に適用したDeny
が自動的にオフにならない場合があるため、新しく追加された OU の場合、Horizon Universal Console でドメイン参加アカウントを使用する前に、OU およびすべての 子 OU の [すべての子オブジェクトの削除] に対して設定したDeny
権限を確認して手動でクリアする必要がある場合があります。
コンピュータ アカウントの再利用
ドメイン参加ユーザー アカウントには既存のコンピュータ アカウントを再利用するための権限を付与する必要があります。それには次の手順を使用します。
- 新しいユニバーサル セキュリティ グループを作成します。
- すべてのドメイン参加ユーザー アカウントを新しいセキュリティ グループに追加します。
- 関連するすべてのグループ ポリシー オブジェクト (GPO) について、[ドメイン コントローラ:ドメイン参加中にコンピュータ アカウントの再利用を許可する] を有効にします。
- [セキュリティの編集...] をクリックします。
- [信頼されたコンピュータ アカウント所有者のセキュリティ設定] ダイアログで、[追加...] をクリックします。
- 新しいセキュリティ グループを選択し、[OK] をクリックします。
各ドメインに対して次の手順を実行します。