vdmadmin コマンドを使用するときに -T オプションを指定すると、Active Directory の 2 番目の認証情報を管理者ユーザーに提供できます。

構文

vdmadmin -T [-b authentication_arguments] -domainauth
 {-add | -update | -remove | -removeall | -list} -owner domain\user -user domain\user [-password password]

使用上の注意

Connection Server ドメインと一方向の信頼関係を持つドメイン内にユーザーとグループが存在する場合は、Horizon Console で管理者ユーザーの 2 番目の認証情報を指定する必要があります。2 番目の認証情報がないと、管理者は一方向で信頼されているドメインへのアクセス権を付与できません。一方向で信頼されているドメインは、外部ドメインまたは推移的なフォレストの信頼のドメインになります。

2 番目の認証情報はセッションでのみ必要です。エンド ユーザーのデスクトップ セッションまたはアプリケーション セッションでは必要ありません。2 番目の認証情報が必要なのは管理者ユーザーだけです。

2 番目の認証情報をユーザーごとに構成するには、vdmadmin コマンドを使用します。グローバルに指定された 2 番目の認証情報を構成することはできません。

フォレストの信頼の場合、通常はフォレストのルート ドメインのみに 2 番目の認証情報を構成します。こうすることで、Connection Server はフォレストの信頼の子ドメインを列挙できるようになります。

一方向で信頼されているドメインのユーザーが最初にログオンした場合にのみ、Active Directory アカウントのロック、無効化、およびログオン時間のチェックを実行できます。

ユーザーの PowerShell 管理およびスマート カード認証は、一方向で信頼されているドメインではサポートされません。一方向で信頼されているドメインのユーザーの SAML 認証はサポートされません。

2 番目の認証情報のアカウントには次の権限が必要です。標準のユーザー アカウントには、デフォルトでこれらの権限が付与されています。

  • 内容の一覧表示
  • すべてのプロパティの読み取り
  • アクセス許可の読み取り
  • tokenGroupsGlobalAndUniversal の読み取り([すべてのプロパティの読み取り] により暗黙に含まれる)

制限

  • 一方向で信頼されているドメインでのユーザーのスマート カード認証および PowerShell 管理はサポートされません。
  • 一方向で信頼されているドメインのユーザーの SAML 認証はサポートされません。

オプション

表 1. 2 番目の認証情報を提供するためのオプション
オプション 説明
-add 所有者アカウントの 2 番目の認証情報を追加します。

Windows ログインが実行され、指定した認証情報が有効かどうかが検証されます。View LDAP のユーザーに対して Foreign Security Principal (FSP) が作成されます。

-update 所有者アカウントの 2 番目の認証情報を更新します。

Windows ログインが実行され、更新済みの認証情報が有効かどうかが検証されます。

-list 所有者アカウントのセキュリティ認証情報を表示します。パスワードは表示されません。
-remove 所有者アカウントからセキュリティ認証情報を削除します。
-removeall 所有者アカウントからセキュリティ認証情報をすべて削除します。

指定した所有者アカウントの 2 番目の認証情報を追加します。Windows ログインが実行され、指定した認証情報が有効かどうかが検証されます。

vdmadmin -T -domainauth -add -owner domain\user -user domain\user -password password

指定した所有者アカウントの 2 番目の認証情報を更新します。Windows ログインが実行され、更新済みの認証情報が有効かどうかが検証されます。

vdmadmin -T -domainauth -update -owner domain\user -user domain\user -password password

指定した所有者アカウントの 2 番目の認証情報を削除します。

vdmadmin -T -domainauth -remove -owner domain\user -user domain\user

指定した所有者アカウントの 2 番目の認証情報をすべて削除します。

vdmadmin -T -domainauth -removeall -owner domain\user

指定した所有者アカウントの 2 番目の認証情報をすべて表示します。パスワードは表示されません。

vdmadmin -T -domainauth -list -owner domain\user