在向雲端式管理主控台進行驗證的程序中,於使用 My VMware 帳戶向初始登入畫面進行驗證後,來自您組織的個人會根據您向環境登錄的 Active Directory 網域,在第二個登入畫面中輸入其 Active Directory 使用者帳戶認證。系統提供了可讓您指派給各種 Active Directory 群組的預先定義角色。這些與 Active Directory 網域相關的角色可控制登入人員導覽主控台時可供檢視和啟用,或可供檢視和停用的主控台區域。您必須將角色指派給組織的適當 Active Directory 群組,以便該群組中的使用者可以使用主控台來執行您要他們執行的工作活動。
- 功能是否取決於僅在最新 Horizon Cloud Pod 資訊清單、Horizon 網繭版本或 Horizon Cloud Connector 版本中可用的系統程式碼。
- 是否存取處於「限制可用性」的功能,如功能首次推出時的版本說明中所述。
- 功能是否需要特定授權或 SKU。
當您在本說明文件中提及某個功能,但未在主控台中看見該功能時,先檢查版本說明以瞭解該功能的存取是否受到限制,以及您可以在租用戶中要求啟用的方式。或者,如果您認為有權使用本說明文件中所述的功能,但您未在主控台中看見該功能,您可以詢問您的 VMware Horizon Cloud Service 代表,或如果您沒有代表,則可以向 Horizon Cloud Service 團隊提出服務要求 (SR),如如何在 Customer Connect 中提出支援要求 (VMware KB 2006985) 中所述。
您使用此處的步驟指派的角色是兩個角色類型中的其中之一,主控台會使用該角色來決定人員的已驗證工作階段允許該人員在主控台中檢視的內容,以及他們可在主控台中對可看到項目執行的動作。在標準登入工作流程中,主控台的首次登入畫面會使用 My VMware 帳戶,而這些帳戶會與使用 [一般設定] 頁面的角色相關聯。第二個登入畫面會使用 Active Directory (AD) 認證,而這些認證會與使用此 [角色及權限] 頁面的角色相關聯。這些 AD 網域相關角色會決定主控台功能和元素的可見度。此角色也會決定哪些使用者介面元素可能會在人員導覽主控台時顯示為停用狀態。
例如,若為 AD 群組中具備指派管理員角色的人員,則可以執行與管理使用者指派和伺服器陣列相關的作業,但無法執行其他類型的作業。若為 AD 群組中具備服務台唯讀管理員角色的人員,則可以導覽至使用者的使用者卡片並檢視相關資訊,但無法對使用者工作階段執行疑難排解作業。另一方面,AD 群組中具備服務台管理員角色的人員可以導覽至使用者卡片並檢視相關資訊,還可以對使用者工作階段執行疑難排解作業。對於服務台管理員角色,您還可以限制 AD 群組所能執行的疑難排解作業範圍。
這些 AD 網域相關角色會與您組織中人員用來使用標準登入工作流程登入之 My VMware 帳戶上的角色一併運作。因此,您必須確保這兩個角色的整體組合會持續反映您針對特定個人想要的結果,即使該個人移動至組織內的不同工作位置和 AD 群組也是如此。如需這兩個角色類型和角色指派的最佳做法配對詳細資料,請參閱關於您為人員提供兩個角色類型以在 Horizon Cloud 環境中使用 Horizon Universal Console工作的最佳做法。
角色只能指派給群組,而無法指派給個別帳戶的這個觀念,這也意味著您必須避免將兩個角色指派給相同的 AD 網域群組。超級管理員角色的目的是要授與在主控台中執行所有管理動作的所有權限,而示範管理員角色則是唯讀角色。如果您為相同的 AD 群組同時指定這兩個角色,該群組中的所有使用者都將不會獲得超級管理員角色的權限。他們在主控台中的動作會受到限制,進而可能導致無法完整管理您的環境。
依預設會提供下列預先定義的角色。預先定義的角色無法修改。
| 角色 | 說明 |
|---|---|
| 超級管理員 | 一個必要角色,必須指派給 AD 網域中的至少一個群組,並可選擇性地指派給其他群組。此角色會授與所有權限以存取主控台的所有區域,以及在主控台中執行管理動作。 系統一律會為主要和輔助網域繫結帳戶指派超級管理員角色,而授與在主控台中執行管理動作的所有權限。對於您不想使其擁有超級管理員權限的使用者,您應確定他們無法存取指定的網域繫結帳戶。
備註: 如果您的網繭機群有任何網繭執行的資訊清單早於 1600.0,則必須確保網域加入帳戶位於您授與超級管理員角色的其中一個群組。如需詳細資料,請參閱
Horizon Cloud 作業所需的服務帳戶。
|
| 指派管理員 | 如果您的租用戶環境啟用了此功能,您可以選擇性地將此角色指派給一或多個群組。具備此角色的 AD 群組有權存取主控台,以便建立、修改和刪除使用者指派和伺服器陣列。具備此角色的群組還可以執行與管理指派和伺服器陣列相關的作業,例如:虛擬機器組態、電源管理和遠端應用程式組態。 |
| 服務台管理員 | 您可以選擇性地指派給一或多個群組的角色。此角色的用途是提供對主控台的存取權,讓具備此角色的 AD 群組可透過使用者卡片功能來:
依預設,具備此角色的 AD 群組有權對主控台中列出之任何指派或伺服器陣列相關聯的工作階段,執行疑難排解作業。如果您的租用戶環境啟用了此功能,您還可以選擇性地修改群組的權限,讓將該群組的疑難排解作業範圍,僅以與某些指派和伺服器陣列相關聯的工作階段為限。若要修改群組的權限範圍,請按一下該群組的編輯圖示。
備註: 如果您將指派或伺服器陣列包含在 AD 群組的權限內,當之後嘗試刪除該指派或伺服器陣列時,會立即將其從該群組的權限範圍中移除。如果刪除程序失敗,而該指派或伺服器陣列仍然存在,則必須手動將其再次新增至權限範圍,以保留群組對它的存取權。
|
| 服務台唯讀管理員 | 您可以選擇性地指派給一或多個群組的角色。此角色的用途是提供對主控台的存取權,讓具有此角色的 AD 群組可透過使用者卡片功能來查看使用者工作階段的狀態。 |
| 示範管理員 | 您可以選擇性地指派給一或多個群組的角色。與 My VMware 帳戶上的客戶管理員唯讀角色配對時,此群組中的使用者可以檢視設定以及選取選項來查看主控台中的其他選擇,但選取項目並不會變更組態設定。 |
必要條件
- 將角色指派給您現有的 Active Directory 群組之前,請檢閱 Active Directory 群組中的使用者帳戶成員資格,以確保一個使用者帳戶僅會獲得前述的其中一個 Horizon Cloud 角色。如有需要,請建立特定 Active Directory 群組。因為這些角色會在 Active Directory 群組的層級上指派,如果使用者的 Active Directory 帳戶屬於兩個 Active Directory 群組,且每個群組已指派不同的角色,則可能會發生某些非預期的結果。主控台功能會根據下列優先順序顯示:
- 超級管理員
- 指派管理員
- 服務台管理員
- 示範管理員
- 服務台唯讀管理員
基於此優先順序,如果某個使用者的 Active Directory 帳戶同時屬於 Active Directory 群組 ADGroup1 和 ADGroup2,且您將超級管理員角色指派給 ADGroup1,並將服務台唯讀管理員角色指派給 ADGroup2 角色,則主控台將會根據超級管理員角色顯示所有的功能,而非根據其他角色的功能子集來顯示,因為超級管理員角色具有優先權。
- 此外,請檢閱指派給群組成員之 My VMware 帳戶的角色,以確保這些角色與您要指派給其 Active Directory 群組的角色維持一致。遵循關於您為人員提供兩個角色類型以在 Horizon Cloud 環境中使用 Horizon Universal Console工作的最佳做法中所述的最佳做法配對。
程序
下一步
確保網域群組中的使用者在其 My VMware 帳戶上擁有適當角色。請參閱關於您為人員提供兩個角色類型以在 Horizon Cloud 環境中使用 Horizon Universal Console工作的最佳做法與將管理角色提供給組織中的個人以進行登入,以及在 Horizon Cloud 租用戶環境中使用 Horizon Universal Console執行動作。
