各コネクション ブローカー インスタンスは Active Directory ドメインに参加しており、ユーザーは参加しているドメインを利用するために Active Directory に対して認証されます。信頼契約の存在する追加ユーザー ドメインがある場合、ユーザーはそのドメインに対しても認証されます。
たとえば、コネクション ブローカー インスタンスがドメイン A のメンバーであり、ドメイン A とドメイン B の間に信頼契約が存在する場合、ドメイン A とドメイン B の両方のユーザーが Horizon Client を使用してコネクション ブローカー インスタンスに接続できます。
同様に、ドメイン混在環境でドメイン A と MIT Kerberos レルムの間に信頼契約が存在する場合、Kerberos レルムのユーザーは Horizon Client でコネクション ブローカー インスタンスに接続するときに Kerberos レルム名を選択できます。
次の Active Directory ドメインにユーザーとグループを配置できます。
- コネクション ブローカー ドメイン
- コネクション ブローカー ドメインとの双方向の信頼関係がある別のドメイン
- 一方向の外部またはレルムの信頼関係でコネクション ブローカー ドメインによって信頼されている、コネクション ブローカー ドメインとは異なるフォレスト内のドメイン
- 一方向または双方向の推移的なフォレストの信頼関係でコネクション ブローカー ドメインによって信頼されている、コネクション ブローカー ドメインとは異なるフォレスト内のドメイン
コネクション ブローカーは、ホストが存在するドメインから始めて、信頼関係をたどって、アクセスできるドメインを決定します。小規模で、接続が安定しているドメインのセットであれば、コネクション ブローカーは短時間でドメインの完全なリストを決定できますが、ドメインの数が増えたり、ドメイン間の接続が不十分であったりすると、要する時間は長くなります。リストには、リモート デスクトップおよびアプリケーションにログインしたユーザーに提供しない方がよいドメインも含まれる場合があります。
管理者は、vdmadmin コマンドライン インターフェイス使用して、ドメインのフィルタ処理を構成できます。フィルタを使用すると、コネクション ブローカー インスタンスが検索してユーザーに表示するドメインを制限できます。詳細については、『Horizon 8 の管理』ドキュメントを参照してください。
ログインを許可する時間を制限したり、パスワードの失効日を設定するなどのポリシーも、Active Directory の既存の運用手順に従って処理されます。