VMware Horizon: assegnare i permessi in Active Directory

horizon-grant-permissions-ad-01

Quando gli Instant Clones vengono pubblicati, VMware Horizon richiede determinati permessi in Active Directory per creare i Computer Object nella OU di destinazione.

Per motivi di sicurezza, è consigliato assegnare permessi minimi in Active Directory all'account utilizzato da Horizon per pubblicare gli Instant Clone.

Per evitare potenziali problematiche dovute ai permessi, a volte gli amministratori assegnano i permessi di Domain Admin all'account configurato in Horizon per pubblicare le macchine. Questo ovviamente apre delle serie problematiche di sicurezza nella rete.

 

Assegnare i permessi in Active Directory

Il set minimo di permessi in Active Directory richiesti dal service account utilizzato in VMware Horizon sono i seguenti:

  • List Content
  • Read All Properties
  • Write All Properties
  • Read Permissions
  • Reset Password
  • Create Computer Objects
  • Delete Computer Objects

Il primo step consiste nella creazione del service account in Active Directory (ad esempio vminstantclone).

horizon-grant-permissions-ad-02

Ora creare le Organizational Unit in cui saranno creati gli Instant Clone. Da un Domain Controller, accedere ad Active Directory Users and Computers e creare le OU richieste.

horizon-grant-permissions-ad-03

Nell'esempio un Horizon OU è stata creata con alcune OU sottostanti (Instant Clones e Users).

horizon-grant-permissions-ad-04

Questo articolo è stato scritto per il blog StarWind e può essere trovato in questa pagina. Viene illustrata l'intera procedura di assegnazione dei permessi in Active Directory per limitare problematiche di sicurezza.

 

Configurare i Domains in Horizon

Una volta che il service account in AD è stato creato e sono stati attribuiti i permessi richiesti, deve essere configurato in Horizon per creare i computer object nella OU selezionata.

horizon-grant-permissions-ad-14

L'AD service account è stato configurato in Horizon.

horizon-grant-permissions-ad-15

Se il tutto funziona come previsto, gli Instant Clone sono pubblicati e configurati in Active Directory nella specifica OU.

horizon-grant-permissions-ad-17

L'utente può accedere correttamente all'Horizon Desktop Pool assegnato.

horizon-grant-permissions-ad-18

Delegare il service account utilizzato in Horizon per pubblicare gli Instant Clone con i permessi minimi nella OU dedicata è la configurazione consigliata per limitare potenziali problemi di sicurezza.

Consultare l'intero articolo sul blog StarWind.

signature

Leave a Reply