Installare Horizon 6 – Parte 3 – Configurare Active Directory e Service Accounts

Il primo passo che dobbiamo effettuare per preparare l’Active Directory per un deployment Horizon View è creare una nuova struttura di organizational unit per tutti i nostri virtual desktop. Questa nuova struttura di OU è importate perchè permette di applicare group policy differenti ai desktop rispetto a quelle applicate ai desktop tradizionali. Ci sono anche permessi specifici che dovrete delegare al View Composer service account.

Ci sono molti modi con cui potete creare una nuova struttura di OU in Active Directory per for Horizon View. Una struttura che ho di recente usato per un cliente è la seguente:

view_OU

View è solamente una OU di alto livello, usata come radice dell’albero. Preferisco impostare questa OU per due motivi: primo, questo segrega completamente i miei virtual desktops dai miei desktop fisici e dai servers; secondo, mi fornisce un posto in cui applicare group policy che dovrebbero applicarsi solamente ai desktop View (per esempio per disabilitare i servizi non essenziali, togliere gli screen savers, etc).

Ho creato anche tre OU child sotto la OU View: questo mi permette di applicare group policy diverse a tipi di desktop diversi. Per esempio, potreste volere disabilitare Windows Updates e usare Persona Management sui desktop non-persistent ma consentire gli Windows Updates sui templates.

Horizon View Group Policy Objects

Horizon View contiene un certo numero di custom group policy objects che possono essere usati per configurare funzionalità come Persona Management e ottimizzare il protocollo PCoIP. Il numero di group policy objects è stato aumentato Horizon View 6, così come il numero di templates.

La maggior parte dei group policy templates è disponibile come file ADM. Ci sono alcuni svantaggi  con i file arm nei moderni ambienti AD. Il principale è che non è possibile importare i group policy file nel Central Store. Se pensate di usare i group policy templates, è una buona idea convertirli nel formato ADMX.

Service Accounts

Il primo service account che creeremo verrà usato da View per accedere al vCenter. Horizon View usa questo account per le operazioni di provisioning e per l’accensione e spegnimento delle vm. Il service account dovrebbe essere un utente di dominio standard senza permessi amministrativi addizionali sul dominio o sul vCenter

Dal momento che useremo il View Composer, imposterò il vCenter Service Account con i permessi richiesti per usare il Composer.

Nota: Se non userete il View Composer serviranno permessi differenti sul vCenter. Fate riferimento alla Horizon View 6.0 Installation Guide per maggiori dettagli sui permessi che devono essere assegnati al service account.

Per assegnare i permessi appropriati all’utente, dobbiamo creare un nuovo ruolo in vCenter. Per creare un nuovo ruoloTo create a new role in the vCenter Web Client, go to Administration –> Roles. Then click on the green plus sign.

role

I permessi che bisogna assegnare al nuovo ruolo sono i seguenti:

Privilege Group

Privilege

Datastore Allocate Space
Browse Datastore
Low Level File Operations
Folder Create Folder
Delete Folder
Virtual Machine Configuration –> All Items
Inventory –> All Items
Snapshot Management –> All Items
Interaction:
Power On
Power Off
Reset
Suspend
Provisioning:
Customizing
Deploy Template
Read Customization Spec
Clone Virtual Machine
Allow Disk Access
Resource Assign Virtual Machine to Resource Pool
Migrate Powered-Off Virtual Machine
Global Enable Methods
Disable Methods
System Tag
Act As vCenter *
Network All
Host Configuration:
Advanced Settings *

* Act as vCenter e Host Advanced Settings sono richiesti solo se si usa il View Storage Accelerator.

Ora, dobbiamo i permessi per il nostro service account sulla root di vCenter root.  Per farlo, andate nella schermata Home del vCenter Web Client Home ed eseguite i passi che seguono:

  1. Selezionate vCenter
  2. Selezionate vCenter Servers in Inventory
  3. Selezionate il vCenter su cui volete fornire i permessi
  4. Cliccate il tab Manage
  5. Cliccate Permissions
  6. Cliccate il simbolo Più Verde per aggiungere un permesso
  7. Selezionate il ruolo per il View Composer
  8. Aggiungere il Domain User  a cui dovreste assegnare il ruolo
  9. Cliccate OK.

role1

Il secondo account che andremo a creare verrà usato da View per accedere al composer. Questo account può essere creato come utente di dominio standard. L’account non dovrebbe avere permessi da domain administrator, ha bisogno solamente di un insieme di permessi sulla OU (o sulle OU) in cui verranno posizionati i View Desktop. Se userete una struttura simile a quella che ho descritto in precedenza, dovrete solamente delegare i permessi sulla top-level OU e l’ereditarietà, se attiva, li applicherà a ogni oggetto figlio sotto questa.

Nota: Se l’ereditarietà non è attiva, dovrete selezionare il checkbox Apply to All Child Objects prima di applicare i permessi.

I permessi che bisogna delegare sulla OU sono questi:

  • Create Computer Objects
  • Delete Computer Objects
  • Write All Properties
  • Reset Password

L’account dovrà avere anche i diritti di amministratore locale sul server Composer. Se l’account non fa parte degli amministratori locali, non sarete in grado di configurare il Composer dal View Administrator.

Leave a Reply

Your email address will not be published. Required fields are marked *