在向雲端式管理主控台進行驗證的程序中,於使用 My VMware 帳戶向初始登入畫面進行驗證後,來自您組織的個人會根據您向環境登錄的 Active Directory 網域,在第二個登入畫面中輸入其 Active Directory 使用者帳戶認證。系統提供了可讓您指派給各種 Active Directory 群組的預先定義角色。這些與 Active Directory 網域相關的角色可控制登入人員導覽主控台時可供檢視和啟用,或可供檢視和停用的主控台區域。您必須將角色指派給組織的適當 Active Directory 群組,以便該群組中的使用者可以使用主控台來執行您要他們執行的工作活動。

您使用此處的步驟指派的角色是兩個角色類型中的其中之一,主控台會使用該角色來決定人員的已驗證工作階段允許該人員在主控台中檢視的內容,以及他們可在主控台中對可看到項目執行的動作。在標準登入工作流程中,主控台的首次登入畫面會使用 My VMware 帳戶,而這些帳戶會與使用 [一般設定] 頁面的角色相關聯。第二個登入畫面會使用 Active Directory 認證,而這些認證會與使用此 [角色及權限] 頁面的角色相關聯。這些 Active Directory 網域相關角色會決定主控台功能和元素的可見度。此角色也會決定哪些使用者介面元素可能會在人員導覽主控台時顯示為停用狀態。例如,指派角色為服務台唯讀管理員之 Active Directory 群組中的人員,可以導覽至使用者的使用者卡片以及檢視資訊,但無法在桌面上執行作業。指派角色為服務台管理員之 Active Directory 群組中的人員,則可以導覽至使用者卡片並執行疑難排解作業以及檢視資訊。

這些 Active Directory 網域相關角色會與您組織中人員用來使用標準登入工作流程登入之 My VMware 帳戶上的角色一併運作。因此,您必須確保這兩個角色的整體組合會持續反映您針對特定個人想要的結果,即使該個人移動至組織內的不同工作位置和 Active Directory 群組也是如此。如需這兩個角色類型和角色指派的最佳做法配對詳細資料,請參閱關於您為人員提供兩個角色類型以在 Horizon Cloud 環境中使用 Horizon 通用主控台工作的最佳做法

備註: 您使用 Horizon Cloud Service 平台所做的角色變更 (透過 cloud.vmware.com 上的 VMware Cloud Service) 不會顯示在 Horizon 通用主控台中。您必須如下所述,直接在 Horizon 通用主控台中進行角色變更。
注意: 請記住,超級管理員角色可控制您的哪些 AD 使用者帳戶能夠登入 Horizon Cloud 租用戶帳戶,並在主控台中執行管理作業,包括此處將角色指派給您 AD 群組的步驟。如果您只有指派給超級管理員角色的單一 AD 群組,在您將其他管理員群組新增至此超級管理員角色之前,請勿從 Active Directory 系統中移除該管理員群組,或變更其顯示於 Active Directory 系統中的 GUID。如果您從 Active Directory 系統中移除該群組,或加以變更而使其在 Active Directory 系統中的 GUID 有所變更,該變更將不會傳達至 Horizon Cloud 控制平面,且 Horizon Cloud 將無法識別這個具有超級管理員角色的 AD 群組。如果該群組是您指派給超級管理員角色的唯一群組,則任何用來以超級管理員存取層級登入的 AD 帳戶,都可能因此無法登入並執行管理作業,包括將角色指派給 AD 群組,以重新建立具有超級管理員存取權的一組 AD 帳戶的作業。系統一律會為網域繫結帳戶指派超級管理員角色。如果您已移除指派給超級管理員角色的唯一單一 AD 群組,且網域繫結帳戶不在該群組中,您可以嘗試使用網域繫結帳戶認證登入主控台,並執行將超級管理員角色指派給新 AD 群組的步驟。但是,如果您無法使用網域繫結帳戶成功登入,則必須連絡 VMware 支援,請他們協助您復原租用戶帳戶的管理存取權。
重要: 這些 Horizon Cloud 角色僅能指派給群組。系統並未提供為每個角色選擇個別 Active Directory 使用者帳戶的方法。

角色只能指派給群組,而無法指派給個別帳戶的這個觀念,這也意味著您必須避免將兩個角色指派給相同的 Active Directory 網域群組。超級管理員角色的目的是要授與在主控台中執行所有管理動作的所有權限,而示範管理員角色則是唯讀角色。如果您為相同的 Active Directory 群組同時指定這兩個角色,該群組中的所有使用者都將不會獲得超級管理員角色的權限。他們在主控台中的動作會受到限制,進而可能導致無法完整管理您的環境。

依預設會提供下列預先定義的角色。預先定義的角色無法修改。

表 1. Horizon Cloud 角色型存取控制群組
角色 說明
超級管理員 一個必要角色,必須指派給 Active Directory 網域中的至少一個群組,並可選擇性地指派給其他群組。此角色會授與所有權限以存取主控台的所有區域,以及在主控台中執行管理動作。

系統一律會為主要和輔助網域繫結帳戶指派超級管理員角色,而授與在主控台中執行管理動作的所有權限。對於您不想使其擁有超級管理員權限的使用者,您應確定他們無法存取指定的網域繫結帳戶。

備註: 如果您的網繭機群有任何網繭執行的資訊清單早於 1600.0,則必須確保網域加入帳戶位於您授與超級管理員角色的其中一個群組。如需詳細資料,請參閱 Horizon Cloud 作業所需的服務帳戶
服務台管理員 您可以選擇性地指派給一或多個群組的角色。此角色的用途是提供對主控台的存取權,讓具有此角色的 Active Directory 群組可透過使用者卡片功能來:
  • 查看使用者工作階段的狀態。
  • 對工作階段執行疑難排解作業。
服務台唯讀管理員 您可以選擇性地指派給一或多個群組的角色。此角色的用途是提供對主控台的存取權,讓具有此角色的 Active Directory 群組可透過使用者卡片功能來查看使用者工作階段的狀態。
示範管理員 您可以選擇性地指派給一或多個群組的角色。與 My VMware 帳戶上的客戶管理員唯讀角色配對時,此群組中的使用者可以檢視設定以及選取選項來查看主控台中的其他選擇,但選取項目並不會變更組態設定。

必要條件

注意: 將角色指派給您現有的 Active Directory 群組之前,請檢閱 Active Directory 群組中的使用者帳戶成員資格,以確保一個使用者帳戶僅會獲得前述的其中一個 Horizon Cloud 角色。如有需要,請建立特定 Active Directory 群組。因為這些角色會在 Active Directory 群組的層級上指派,如果使用者的 Active Directory 帳戶屬於兩個 Active Directory 群組,且每個群組已指派不同的角色,則可能會發生某些非預期的結果。主控台功能會根據下列優先順序顯示:
  1. 超級管理員
  2. 服務台管理員
  3. 示範管理員
  4. 服務台唯讀管理員

基於此優先順序,如果某個使用者的 Active Directory 帳戶同時屬於 Active Directory 群組 ADGroup1 和 ADGroup2,且您將超級管理員角色指派給 ADGroup1,並將服務台唯讀管理員角色指派給 ADGroup2 角色,則主控台將會根據超級管理員角色顯示所有的功能,而非根據其他角色的功能子集來顯示,因為超級管理員角色具有優先權。

此外,請檢閱指派給群組成員之 My VMware 帳戶的角色,以確保這些角色與您要指派給其 Active Directory 群組的角色維持一致。遵循關於您為人員提供兩個角色類型以在 Horizon Cloud 環境中使用 Horizon 通用主控台工作的最佳做法中所述的最佳做法配對。

程序

  1. 在主控台中,導覽至設定 > 角色及權限
  2. 選取其中一個預先定義的角色,然後按一下編輯
  3. 使用搜尋方塊來搜尋並選取 Active Directory 群組。
    您必須在搜尋方塊中輸入至少三個字元才能顯示結果。
    群組會新增至選取的群組集。
  4. 按一下儲存

後續步驟

確保網域群組中的使用者在其 My VMware 帳戶上擁有適當角色。請參閱關於您為人員提供兩個角色類型以在 Horizon Cloud 環境中使用 Horizon 通用主控台工作的最佳做法將管理角色提供給組織中的個人以進行登入,以及在 Horizon Cloud 租用戶環境中使用 Horizon 通用主控台執行動作