Horizon Cloud は、Active Directory (AD) ドメイン内の 2 つのアカウントをサービス アカウントとして使用する必要があります。このトピックでは、これら 2 つのアカウントが満たす必要がある要件について説明します。
Horizon Cloud では、これらの 2 つのサービス アカウントとして使用する 2 つの AD アカウントを指定する必要があります。
- AD ドメイン内の検索を実行するために使用するドメイン バインド アカウント。
- コンピュータ アカウントをドメインに参加させ、Sysprep 処理を実行するために使用するドメイン参加アカウント。
注: Microsoft Azure のポッドの場合、システムは Microsoft Azure Marketplace からのイメージのインポート、ファーム RDSH インスタンスの作成、VDI デスクトップ インスタンスの作成など、仮想マシンをドメインに参加させる必要のあるポッド操作でこのドメイン参加アカウントを使用します。
クラウドベースの管理コンソールを使用して、これらのアカウントの認証情報を Horizon Cloud に入力します。
これらのサービス アカウントに指定する Active Directory アカウントは、Horizon Cloud の次の動作要件を満たす必要があります。
ドメイン バインド アカウントの要件
- ドメイン バインド アカウントは、期限切れにしたり、変更やロックアウトをすることができません。このタイプのアカウント設定を使用する必要があります。これは、システムでは Active Directory を問い合わせるためにプライマリ ドメイン バインド アカウントがサービス アカウントとして使用されるためです。何らかの理由でプライマリ ドメイン バインド アカウントにアクセスできない場合、システムは補助ドメイン バインド アカウントを使用します。プライマリ/補助の両方のドメイン バインド アカウントが期限切れかアクセス不能になると、クラウドベースのコンソールにログインして設定を更新することができません。
重要: プライマリ/補助の両方のドメイン バインド アカウントが期限切れかアクセス不能になると、コンソールにログインして設定を有効なドメイン バインド アカウント情報に更新することができません。プライマリまたは補助ドメイン バインド アカウントで [Never Expires(有効期限なし)] を設定しない場合、両方に異なる有効期限を設定する必要があります。有効期限が近くなったら常に追跡しながら、有効期限の時刻に達する前に Horizon Cloud ドメイン バインド アカウント情報を更新する必要があります。
- ドメイン バインド アカウントには、sAMAccountName 属性が必要です。sAMAccountName 属性は 20 文字以下にする必要があります。また、次の文字を含めることはできません。"/\ []:; |= , + * ?< >
- ドメイン バインド アカウントには読み取り権限が付与されている必要があります。Horizon Cloud のサービスとしてのデスクトップ操作でエンド ユーザーへのデスクトップ仮想マシンの割り当てなどの操作を行う際など、AD 組織単位 (OU) の AD アカウントをすべて検索できる機能を使用されることが想定されます。ドメイン バインド アカウントには、Active Directory からオブジェクトを列挙する機能が必要です。ドメイン バインド アカウントには、Horizon Cloud での使用が予想されるすべての OU およびオブジェクトに対する次の権限が必要です。
- コンテンツの一覧表示
- すべてのプロパティの読み取り
- アクセス許可の読み取り
- tokenGroupsGlobalAndUniversal の読み取り([すべてのプロパティの読み取り] 権限により暗黙に含まれる)
重要: 一般的に、ドメイン バインド アカウントには、Microsoft Active Directory デプロイで 認証されたユーザーに通常付与される、設定済みのデフォルトの読み取りアクセス関連の権限が付与されている必要があります。標準の Microsoft Active Directory デプロイでは、 Authenticated Users に通常付与されるデフォルト設定により、標準ドメイン ユーザー アカウントは、 Horizon Cloud がドメイン バインド アカウントに必要な列挙を行うことができます。ただし、組織の Active Directory 管理者が通常ユーザーの読み取りアクセス権に関連する権限をロックダウンすることを選択した場合は、それらの Active Directory 管理者に、 Horizon Cloud に使用するドメイン バインド アカウントの 認証済みユーザーの標準デフォルト設定を保持するように要求する必要があります。 - ドメイン バインド アカウントには常にスーパー管理者ロールが割り当てられます。これにより、コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を付与しないユーザーは、ドメイン バインド アカウントにアクセスできないようにする必要があります。
ドメイン参加アカウントの要件
- ドメイン参加アカウントを変更またはロックアウトすることはできません。
- 次の条件のうち、少なくとも 1 つを満たしている必要があります。
- Active Directory で、ドメイン参加アカウントを [Never Expires(有効期限なし)] に設定します。
- または、最初のドメイン参加アカウントと有効期限の異なる補助ドメイン参加アカウントを構成します。この方法を選択する場合は、補助ドメイン参加アカウントが、コンソールに設定するメインのドメイン参加アカウントと同じ要件を満たしていることを確認します。
注意: ドメイン参加アカウントの有効期限が切れ、有効な補助ドメイン参加アカウントが構成されていない場合、 Horizon Cloud はイメージのシーリングとファーム RDSH の仮想マシンおよび VDI デスクトップ仮想マシンのプロビジョニングに失敗します。 - ドメイン参加アカウントには、sAMAccountName 属性が必要です。sAMAccountName 属性は 20 文字以下にする必要があります。また、次の文字を含めることはできません。"/\ []:; |= , + * ?< >
- ドメイン参加アカウントのユーザー名に空白を含めることはできません。
- ドメイン参加アカウントには、次の Active Directory 権限が必要です。
重要:
- ここに挙げる AD 権限の一部は通常、Active Directory により、デフォルトで アカウントに割り当てられます。ただし、Active Directory のセキュリティ許可を制限している場合、Horizon Cloud で使用すると予想されるすべての OU およびオブジェクトの権限についての記述を、ドメイン バインド アカウントが必ず読むようにする必要があります。
- Microsoft Active Directory では、新しい組織単位 (OU) を作成するときに、システムは、新しく作成された OU およびすべての子孫オブジェクトの [すべての子オブジェクトの削除] 権限に
Deny
を適用するPrevent Accidental Deletion
属性を自動的に設定する場合があります。その結果、ドメイン参加アカウントに [コンピュータ オブジェクトの削除] 権限を明示的に割り当てた場合、新しく作成された OU の場合、Active Directory は、明示的に割り当てられた [コンピュータ オブジェクトの削除] 権限に上書きを適用した可能性があります。[誤削除の防止] フラグをオフにしても、Active Directory が [すべての子オブジェクトの削除] 権限に適用したDeny
が自動的にオフにならない場合があるため、新しく追加された OU の場合、Horizon Cloud コンソールでドメイン参加アカウントを使用する前に、OU およびすべての 子 OU の [すべての子オブジェクトの削除] に対して設定したDeny
権限を確認して手動でクリアする必要がある場合があります。
システムは、ファームと VDI デスクトップ割り当ての [コンピュータの組織単位 (OU)] テキスト ボックスが Active Directory 登録のデフォルトの OU と異なる場合、Active Directory 登録ワークフロー(そのワークフローの [デフォルトの組織単位 (OU)] テキスト ボックス)で指定する OU 内、および作成するファームおよび VDI デスクトップ割り当てで指定する OU 内のドメイン参加アカウントに対する明示的な権限チェックを実行します。
下位の OU を使用するケースにも対応するため、ベスト プラクティスとして、これらのアクセス権限をコンピュータの組織単位のすべての子孫オブジェクトに適用するように設定します。ドメイン参加アカウントに必要な Active Directory アクセス許可を次の表に示します。
アクセス 適用先 コンテンツの一覧表示 このオブジェクトとすべての子孫オブジェクト すべてのプロパティの読み取り このオブジェクトとすべての子孫オブジェクト すべてのプロパティの書き込み すべての子孫オブジェクト アクセス許可の読み取り このオブジェクトとすべての子孫オブジェクト パスワードのリセット 子孫コンピュータ オブジェクト コンピュータ オブジェクトの作成 このオブジェクトとすべての子孫オブジェクト コンピュータ オブジェクトの削除 このオブジェクトとすべての子孫オブジェクト
すべての権限を個別に設定する代わりに、フル コントロールを設定することもできますが、権限を個別に設定することを推奨します。
- コンテンツの一覧表示
- すべてのプロパティの読み取り
- すべてのプロパティの書き込み
- アクセス許可の読み取り
- パスワードのリセット
- コンピュータ オブジェクトの作成
- コンピュータ オブジェクトの削除