各 Connection Server ホストは、Active Directory ドメインに参加させる必要があります。ホストをドメイン コントローラにすることはできません。

Active Directory は、Horizon Agent マシン（単一ユーザーのマシンや RDS ホストなど）や VMware Horizon 展開環境のユーザーおよびグループも管理します。VMware Horizon では、リモート デスクトップおよびアプリケーションに対する資格をユーザーやグループに付与したり、管理者となるユーザーやグループを選択したりできます。

次の Active Directory ドメインに Horizon Agent マシン、ユーザー、グループを配置できます。

• Connection Server ドメイン
• Connection Server ドメインとの双方向の信頼関係がある別のドメイン
• 一方向の外部またはレルムの信頼関係で Connection Server ドメインによって信頼されている、Connection Server ドメインとは異なるフォレスト内のドメイン
• 一方向または双方向の推移的なフォレストの信頼関係で Connection Server ドメインによって信頼されている、Connection Server ドメインとは異なるフォレスト内のドメイン

ユーザーは、Active Directory を使用して Connection Server のドメインに対して認証され、さらに信頼契約の存在する追加ユーザー ドメインがある場合はそのドメインに対しても認証されます。

ユーザーやグループが一方向で信頼されているドメインにある場合、Horizon Console の管理者ユーザーに 2 番目の認証情報を提供する必要があります。2 番目の認証情報がないと、管理者は一方向で信頼されているドメインへのアクセス権を付与できません。一方向で信頼されているドメインは、外部ドメインまたは推移的なフォレストの信頼のドメインになります。

2 番目の認証情報は、Horizon Console セッションでのみ必要です。エンド ユーザーのデスクトップ セッションまたはアプリケーション セッションでは必要ありません。2 番目の認証情報が必要なのは管理者ユーザーだけです。

vdmadmin -T コマンドを使用して、2 番目の認証情報を指定できます。

• 個々の管理者ユーザーに 2 番目の認証情報を構成します。
• フォレストの信頼の場合、フォレストのルート ドメインに 2 番目の認証情報を構成できます。こうすることで、Connection Server はフォレストの信頼の子ドメインを列挙できるようになります。

詳細については、Horizon の管理ドキュメントの「-T オプションを使用した、管理者の 2 番目の認証情報の指定」を参照してください。

ユーザーのスマート カードと SAML 認証は、一方向の信頼ドメインでサポートされていません。

Horizon Client for Windows の「現在のユーザーとしてログイン」機能は、一方向の信頼ドメインでサポートされます。