Horizon Cloud は、Active Directory (AD) ドメイン内の 2 つのアカウントをサービス アカウントとして使用する必要があります。このトピックでは、これら 2 つのアカウントが満たす必要がある要件について説明します。

Horizon Cloud では、これらの 2 つのサービス アカウントとして使用する 2 つの AD アカウントを指定する必要があります。

  • AD ドメイン内の検索を実行するために使用するドメイン バインド アカウント。
  • コンピュータ アカウントをドメインに参加させ、Sysprep 処理を実行するために使用するドメイン参加アカウント。

管理コンソールを使用して、これらのアカウントの認証情報を Horizon Cloud に入力します。

これらのサービス アカウントに指定する AD アカウントは、Horizon Cloud の次の動作要件を満たす必要があります。

重要: ここに記述されているとおりに、OU およびオブジェクトのうちユーザーが使用するものや、システムが使用することが予想されるものはすべて、ドメイン バインドやドメイン参加アカウントに引き続き権限が付与されていることを確認する必要があります。 Horizon Cloud には、環境においてどの Active Directory グループが使用されるかを事前設定したり、予測する機能はありません。管理コンソールを使用して、ドメイン バインド アカウントとドメイン参加アカウントを Horizon Cloud に構成する必要があります。

ドメイン バインド アカウントの要件

  • ドメイン バインド アカウントは、期限切れにしたり、変更やロックアウトをすることができません。このタイプのアカウント設定を使用する必要があります。これは、システムでは Active Directory を問い合わせるためにプライマリ ドメイン バインド アカウントがサービス アカウントとして使用されるためです。何らかの理由でプライマリ ドメイン バインド アカウントにアクセスできない場合、システムは補助ドメイン バインド アカウントを使用します。プライマリ/補助の両方のドメイン バインド アカウントが期限切れかアクセス不能になると、管理コンソールにログインして設定を更新することができません。
    重要: プライマリ/補助の両方のドメイン バインド アカウントが期限切れかアクセス不能になると、管理コンソールにログインして設定を有効なドメイン バインド アカウント情報に更新することができません。プライマリまたは補助ドメイン バインド アカウントで [Never Expires(有効期限なし)] を選択した場合、両方に異なる有効期限を設定する必要があります。有効期限が近くなったら常に追跡しながら、有効期限の時刻に達する前に Horizon Cloud ドメイン バインド アカウント情報を更新する必要があります。
  • ドメイン バインド アカウントには、sAMAccountName 属性が必要です。
  • ドメイン バインド アカウントには少なくとも読み取り権限が付与されている必要があります。Horizon Cloud のサービスとしてのデスクトップ操作でエンド ユーザーへのデスクトップ仮想マシンの割り当てを行う際など、AD 組織単位 (OU) の AD アカウントをすべて検索できる機能を使用されることが想定されます。ドメイン バインド アカウントには、Active Directory からオブジェクトを列挙する機能が必要です。
    重要: Active Directory の一般的なデフォルト設定で、標準のドメイン ユーザー アカウントに、その列挙を行う権限が付与されます。ただし、Active Directory のセキュリティ許可を制限している場合、 Horizon Cloud で使用すると予想されるすべての OU およびオブジェクトの権限についての記述を、ドメイン バインド アカウントが必ず読むようにする必要があります。

ドメイン参加アカウントの要件

  • ドメイン参加アカウントを変更またはロックアウトすることはできません。
  • 次の条件のうち、必ず少なくとも 1 つを満たしている必要があります。
    • Active Directory で、ドメイン参加アカウントを [Never Expires(有効期限なし)] に設定します。
    • または、最初のドメイン参加アカウントと有効期限の異なる補助ドメイン参加アカウントを構成します。この方法を選択する場合は、補助ドメイン参加アカウントが、管理コンソールに設定するメインのドメイン参加アカウントと同じ要件を満たしていることを確認します。
    注意: ドメイン参加アカウントの有効期限が切れ、有効な補助ドメイン参加アカウントが設定されていない場合、 Horizon Cloud はイメージのシーリングとファーム サーバの仮想マシンおよび VDI デスクトップ仮想マシンのプロビジョニングに失敗します。
  • ドメイン参加アカウントには、sAMAccountName 属性が必要です。
  • ドメイン参加アカウントには、次の AD 権限が必要です。
    重要: ここに挙げる AD 権限の一部は通常、Active Directory により、デフォルトで アカウントに割り当てられます。ただし、Active Directory のセキュリティ許可を制限している場合、 Horizon Cloud で使用すると予想されるすべての OU およびオブジェクトの権限についての記述を、ドメイン バインド アカウントが必ず読むようにする必要があります。

    ドメイン参加アカウントに必要な AD 権限は次のとおりです。

    • 内容の一覧表示
    • すべてのプロパティの読み取り
    • すべてのプロパティの書き込み
    • アクセス許可の読み取り
    • パスワードのリセット
    • コンピュータ オブジェクトの作成
    • コンピュータ オブジェクトの削除
注意: インスタント クローン イメージを使用する場合は、ドメイン参加アカウントの追加要件があります。Active Directory ドメインを登録するときは、管理コンソールで指定する OU に加えて、ドメイン参加アカウントもにもこれらの権限が付与されている必要があります。これは、インスタント クローン イメージから作成されたデスクトップを配置するすべての OU またはサブ OU に記載されています。
  • 内容の一覧表示
  • すべてのプロパティの読み取り
  • すべてのプロパティの書き込み
  • アクセス許可の読み取り
  • パスワードのリセット
  • コンピュータ オブジェクトの作成
  • コンピュータ オブジェクトの削除