各 Connection Server ホストは、Active Directory ドメインに参加させる必要があります。ホストをドメイン コントローラにすることはできません。
Active Directory は、Horizon Agent マシン(単一ユーザーのマシンや RDS ホストなど)や VMware Horizon 展開環境のユーザーおよびグループも管理します。VMware Horizon では、リモート デスクトップおよびアプリケーションに対する資格をユーザーやグループに付与したり、管理者となるユーザーやグループを選択したりできます。
次の Active Directory ドメインに Horizon Agent マシン、ユーザー、グループを配置できます。
- Connection Server ドメイン
- Connection Server ドメインとの双方向の信頼関係がある別のドメイン
- 一方向の外部またはレルムの信頼関係で Connection Server ドメインによって信頼されている、Connection Server ドメインとは異なるフォレスト内のドメイン
- 一方向または双方向の推移的なフォレストの信頼関係で Connection Server ドメインによって信頼されている、Connection Server ドメインとは異なるフォレスト内のドメイン
- 信頼されていないドメイン
ユーザーは、Active Directory を使用して Connection Server のドメイン、信頼契約の存在する追加ユーザー ドメイン、信頼されていないドメインに対して認証されます。
ユーザーやグループが一方向で信頼されているドメインにある場合、Horizon Console の管理者ユーザーに 2 番目の認証情報を提供する必要があります。2 番目の認証情報がないと、管理者は一方向で信頼されているドメインへのアクセス権を付与できません。一方向で信頼されているドメインは、外部ドメインまたは推移的なフォレストの信頼のドメインになります。
2 番目の認証情報は、Horizon Console セッションでのみ必要です。エンド ユーザーのデスクトップ セッションまたはアプリケーション セッションでは必要ありません。2 番目の認証情報が必要なのは管理者ユーザーだけです。
vdmadmin -T コマンドを使用して、2 番目の認証情報を指定できます。
- 個々の管理者ユーザーに 2 番目の認証情報を構成します。
- フォレストの信頼の場合、フォレストのルート ドメインに 2 番目の認証情報を構成できます。こうすることで、Connection Server はフォレストの信頼の子ドメインを列挙できるようになります。
詳細については、Horizon の管理ドキュメントの「-T オプションを使用した、管理者の 2 番目の認証情報の指定」を参照してください。
ユーザーのスマート カードと SAML 認証は、一方向の信頼ドメインでサポートされていません。
信頼されたドメインからユーザーを認証する場合、一方向の信頼環境で非認証アクセスはサポートされません。たとえば、ドメイン A とドメイン B の 2 つのドメインがあり、ドメイン B にはドメイン A への一方向の信頼関係があるとします。ドメイン B の Connection Server で非認証アクセスを有効にして、ドメイン A のユーザー リストから非認証アクセス ユーザーを追加し、非認証ユーザーに公開デスクトップまたはアプリケーション プールの使用資格を付与すると、ユーザーは Horizon Client から非認証アクセス ユーザーとしてログインできなくなります。
Horizon Client for Windows の「現在のユーザーとしてログイン」機能は、一方向の信頼ドメインでサポートされます。
信頼されていないドメイン
Connection Server ドメインと異なるフォレストに存在し、Connection Server ドメインと正式な信頼関係が確立していない場合、これは信頼されていないドメインの信頼関係になります。信頼されていないドメインの信頼関係の場合、ユーザーはプライマリ ドメイン バインド アカウントの認証情報で認証されます。プライマリ ドメイン バインド アカウントにアクセスできない場合にのみ、補助ドメイン割り当てアカウントでユーザーを認証できます。信頼されていないドメインの構成の詳細については、Horizon の管理の「信頼されていないドメインの構成」を参照してください。
- 現在のユーザーとしてのログイン
- vdmadmin コマンド
- 信頼されていないドメインの管理者ユーザーの追加
- IPv6
- Active Directory UPN がない Active Directory ユーザーの識別