Horizon Cloud は、Active Directory (AD) ドメイン内の 2 つのアカウントをサービス アカウントとして使用する必要があります。このトピックでは、これら 2 つのアカウントが満たす必要がある要件について説明します。

Horizon Cloud では、これらの 2 つのサービス アカウントとして使用する 2 つの AD アカウントを指定する必要があります。

  • AD ドメイン内の検索を実行するために使用するドメイン バインド アカウント。
  • コンピュータ アカウントをドメインに参加させ、Sysprep 処理を実行するために使用するドメイン参加アカウント。

管理コンソールを使用して、これらのアカウントの認証情報を Horizon Cloud に入力します。

これらのサービス アカウントに指定する Active Directory アカウントは、Horizon Cloud の次の動作要件を満たす必要があります。

重要: ここに記述されているとおりに、OU およびオブジェクトのうちユーザーが使用するものや、システムが使用することが予想されるものはすべて、ドメイン バインドやドメイン参加アカウントに引き続き権限が付与されていることを確認する必要があります。 Horizon Cloud には、環境においてどの Active Directory グループが使用されるかを事前設定したり、予測する機能はありません。管理コンソールを使用して、ドメイン バインド アカウントとドメイン参加アカウントを Horizon Cloud に構成する必要があります。

ドメイン バインド アカウントの要件

  • ドメイン バインド アカウントは、期限切れにしたり、変更やロックアウトをすることができません。このタイプのアカウント設定を使用する必要があります。これは、システムでは Active Directory を問い合わせるためにプライマリ ドメイン バインド アカウントがサービス アカウントとして使用されるためです。何らかの理由でプライマリ ドメイン バインド アカウントにアクセスできない場合、システムは補助ドメイン バインド アカウントを使用します。プライマリ/補助の両方のドメイン バインド アカウントが期限切れかアクセス不能になると、管理コンソールにログインして設定を更新することができません。
    重要: プライマリ/補助の両方のドメイン バインド アカウントが期限切れかアクセス不能になると、管理コンソールにログインして設定を有効なドメイン バインド アカウント情報に更新することができません。プライマリまたは補助ドメイン バインド アカウントで [Never Expires(有効期限なし)] を設定しない場合、両方に異なる有効期限を設定する必要があります。有効期限が近くなったら常に追跡しながら、有効期限の時刻に達する前に Horizon Cloud ドメイン バインド アカウント情報を更新する必要があります。
  • ドメイン バインド アカウントには、sAMAccountName 属性が必要です。sAMAccountName 属性は 20 文字以下にする必要があります。また、次の文字を含めることはできません。"/\ []:; |= , + * ?< >
  • ドメイン バインド アカウントには少なくとも読み取り権限が付与されている必要があります。Horizon Cloud のサービスとしてのデスクトップ操作でエンド ユーザーへのデスクトップ仮想マシンの割り当てを行う際など、AD 組織単位 (OU) の AD アカウントをすべて検索できる機能を使用されることが想定されます。ドメイン バインド アカウントには、Active Directory からオブジェクトを列挙する機能が必要です。
    重要:
    • Active Directory の一般的なデフォルト設定で、標準のドメイン ユーザー アカウントに、その列挙を行う権限が付与されます。ただし、Active Directory のセキュリティ許可を制限している場合、ドメイン バインド アカウントに、Horizon Cloud で使用すると予想されるすべての OU およびオブジェクトに対する読み取り権限があることを確認する必要があります。
  • ドメイン バインド アカウントには常にスーパー管理者ロールが割り当てられます。これにより、管理コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を必要としないユーザーは、ドメイン バインド アカウントにアクセスできないようにする必要があります。

ドメイン参加アカウントの要件

  • ドメイン参加アカウントを変更またはロックアウトすることはできません。
  • 次の条件のうち、少なくとも 1 つを満たしている必要があります。
    • Active Directory で、ドメイン参加アカウントを [Never Expires(有効期限なし)] に設定します。
    • または、最初のドメイン参加アカウントと有効期限の異なる補助ドメイン参加アカウントを構成します。この方法を選択する場合は、補助ドメイン参加アカウントが、管理コンソールに設定するメインのドメイン参加アカウントと同じ要件を満たしていることを確認します。
    注意: ドメイン参加アカウントの有効期限が切れ、有効な補助ドメイン参加アカウントが設定されていない場合、 Horizon Cloud はイメージのシーリングとファーム RDSH の仮想マシンおよび VDI デスクトップ仮想マシンのプロビジョニングに失敗します。
  • ドメイン参加アカウントには、sAMAccountName 属性が必要です。sAMAccountName 属性は 20 文字以下にする必要があります。また、次の文字を含めることはできません。"/\ []:; |= , + * ?< >
  • ドメイン参加アカウントには、次の Active Directory 権限が必要です。
    重要: ここに挙げる AD 権限の一部は通常、Active Directory により、デフォルトで アカウントに割り当てられます。ただし、Active Directory のセキュリティ許可を制限している場合、 Horizon Cloud で使用すると予想されるすべての OU およびオブジェクトの権限についての記述を、ドメイン バインド アカウントが必ず読むようにする必要があります。

    システムは、ファームと VDI デスクトップ割り当ての [コンピュータの組織単位 (OU)] テキスト ボックスが Active Directory 登録のデフォルトの OU と異なる場合、Active Directory 登録ワークフロー(そのワークフローの [デフォルトの組織単位 (OU)] テキスト ボックス)で指定する OU 内、および作成するファームおよび VDI デスクトップ割り当てで指定する OU 内のドメイン参加アカウントに対する明示的な権限チェックを実行します。

    下位の OU を使用するケースにも対応するため、ベスト プラクティスとして、これらのアクセス権限をコンピュータの組織単位のすべての子孫オブジェクトに適用するように設定します。ドメイン参加アカウントに必要な Active Directory アクセス許可を次の表に示します。

    アクセス 適用先
    内容の一覧表示 このオブジェクトとすべての子孫オブジェクト
    すべてのプロパティの読み取り このオブジェクトとすべての子孫オブジェクト
    すべてのプロパティの書き込み すべての子孫オブジェクト
    アクセス許可の読み取り このオブジェクトとすべての子孫オブジェクト
    パスワードのリセット 子孫コンピュータ オブジェクト
    コンピュータ オブジェクトの作成 このオブジェクトとすべての子孫オブジェクト
    コンピュータ オブジェクトの削除 このオブジェクトとすべての子孫オブジェクト
注意:

すべての権限を個別に設定する代わりに、フル コントロールを設定することもできますが、権限を個別に設定することを推奨します。

注意: インスタント クローン イメージを使用する場合は、ドメイン参加アカウントの追加要件があります。Active Directory ドメインを登録するときは、管理コンソールで指定する OU に加えて、ドメイン参加アカウントもにもこれらの権限が付与されている必要があります。これは、インスタント クローン イメージから作成されたデスクトップを配置するすべての OU またはサブ OU に記載されています。
  • 内容の一覧表示
  • すべてのプロパティの読み取り
  • すべてのプロパティの書き込み
  • アクセス許可の読み取り
  • パスワードのリセット
  • コンピュータ オブジェクトの作成
  • コンピュータ オブジェクトの削除