複雑な Active Directory 環境における組織のシナリオでは、ポッドでプロビジョニングされたリソースが 1 つのフォレストのドメインに参加する一方で、ユーザー アカウントが別のフォレストのドメインに存在し、ドメイン内のユーザーが他のドメインのリソースにアクセスすることを可能にする外部またはフォレストの信頼がある場合があります。このトピックでは、複数のフォレストにおけるドメイン間の外部の信頼またはフォレストの信頼をスキャンするための Horizon Cloud サポートについて説明します。
管理コンソールで、ポッドでプロビジョニングされたリソースの使用資格をユーザーとグループに付与する、いわゆる割り当てを作成します。コンソールを使用して VDI デスクトップ割り当てまたはファームを作成する場合、作成されたデスクトップ仮想マシンまたはファームのセッション ホスト仮想マシンをどのクラウド登録済みドメインに配置するかを指定します。また、コンソールを使用して、Active Directory ドメイン内のユーザーおよびグループにこれらのリソースの使用を提供するように割り当てを構成します。これらの割り当てに対する複雑なドメイン環境の使用に対応するため、Horizon Cloud は次の機能をサポートします。
- あるフォレストのドメインに参加しているポッドでプロビジョニングされたリソースの使用資格を、別のフォレストのドメインに参加しているユーザーおよびグループに付与する。
- 一方向の信頼。
重要:
Horizon Cloud の割り当てにドメイン ローカル グループを使用することはサポートされていません。さまざまなフォレストのグループに同じ割り当ての使用資格を付与するには、各フォレストの 1 つのユニバーサル グループを登録する必要があります。
外部およびフォレストの信頼を Horizon Cloud がサポートするには、以下を実行する必要があります。
- クラウド接続されたポッドからプロビジョニングされたリソースで使用するアカウントを含むすべてのフォレストのすべてのドメインを Horizon Cloud に登録します。グループのドメインが Horizon Cloud に登録されていない限り、システムはフォレストのグループを検証できません。第 1 世代のテナント - Horizon Cloud 制御プレーン テナントで最初に必要な Active Directory ドメイン登録の実行および追加の Active Directory ドメインをクラウド構成の Active Directory ドメインとして Horizon Cloud テナント環境に登録するを参照してください。これらのトピックで説明するように、クラウド接続されたすべてのポッドは、クラウド登録されたすべての Active Directory ドメインを認識できる必要があります。
- フォレストの信頼の両側にあるフォレスト ルート ドメインを登録します。フォレストのルート ドメインにユーザーまたはデスクトップがない場合でも、この要件を満たす必要があります。この要件により、Horizon Cloud がフォレストのルートに接続し、関連する TDO(信頼されたドメイン オブジェクト)をデコードできるようになります。
- 各フォレストの 1 つ以上の登録済みドメインでグローバル カタログを有効にします。パフォーマンスを最適化するためには、すべての登録済みドメインでグローバル カタログを有効にする必要があります。
- さまざまなフォレストのグループに Horizon Cloud の同じ割り当ての使用資格を付与するには、各フォレストの少なくとも 1 つのユニバーサル グループを登録します。
- フォレスト ドメインの DNS 名およびルート命名コンテキストの階層構造に従います。たとえば、親ドメインが example.edu の場合、子ドメインは vpc.example.edu となり、vpc.com とはなりません。
- 外部の信頼されたフォレストのドメインが、別の登録済みドメインと競合する NETBIOS 名を使用しないようにします。このようなドメインはシステムの列挙から除外されるためです。登録済みの NETBIOS 名は、信頼されたフォレストのドメインに関するシステムの列挙時に検出された衝突する NETBIOS 名よりも優先されます。