Use o controle de acesso baseado em função do Console Administrativo para determinar quais privilégios administrativos são concedidos a quais das suas contas de usuário do Active Directory. Essas funções e seus direitos associados determinam quais ações de gerenciamento um usuário pode executar utilizando o Console de administração. A visibilidade dos elementos e recursos do Console Administrativo é controlada pela função atribuída à conta do Active Directory da pessoa. Por exemplo, uma pessoa em um grupo do Active Directory que recebe a função de Administrador Somente Leitura
do Suporte Técnico pode navegar até os cartões de usuário dos usuários finais e visualizar as
informações, mas não realizar operações nas áreas de trabalho. Uma pessoa em um grupo do Active Directory que recebe a função de Administrador de Suporte Técnico pode navegar até os cartões de usuário e realizar operações de solução de problemas, bem como visualizar as informações. Você deve atribuir uma função aos grupos apropriados do Active Directory de sua organização antes que os usuários naquele grupo possam fazer login na segunda tela de login do Console de administração e acessar ações de gerenciamento.
Pré-requisitos
Cuidado Antes de atribuir funções aos seus grupos existentes do Active Directory, revise a associação da conta de usuário nos grupos do Active Directory para garantir que uma conta de usuário receba apenas uma destas funções do Horizon Cloud. Crie grupos específicos do Active Directory, se
necessário. Como essas funções são atribuídas no nível do grupo do Active Directory, poderão ocorrer alguns resultados inesperados se uma conta do Active Directory do usuário pertencer a dois grupos do Active Directory e cada grupo estiver atribuído a uma função diferente. Os recursos do Console Administrativo são visíveis, de acordo com esta ordem de precedência:
1 Superadministrador
2 Administrador do Suporte Técnico
3 Administrador de Demonstração
4 Administrador Somente Leitura do Suporte Técnico
Como resultado dessa ordem de precedência, se uma conta de usuário do Active Directory pertencer aos grupos do Active Directory ADGroup1 e ADGroup2, e você atribuir a função de Superadministrador ao ADGroup1 e atribuir a função de Administrador Somente Leitura de Suporte Técnico ao
ADGroup2, o Console Administrativo exibirá todos os recursos de acordo com a função de
Superadministrador, em vez do subconjunto de recursos para a outra função, pois a função de Superadministrador tem precedência.
Procedimentos
1 Selecione Configurações > Funções e Permissões. A página Funções e Permissões é exibida.
Há quatro funções padrões, exibidas abaixo. Função Descrição
Super administrador
Uma função obrigatória que deve ser atribuída a pelo menos um grupo em seu domínio do Active Directory e opcionalmente a outros. Essa função concede todas as permissões para executar ações de gerenciamento no Console de administração.
Importante Verifique se a conta de ingresso no domínio que você especificou ao registrar o domínio do Active Directory com o primeiro nó está em um dos grupos que receberam a função de
Superadministrador. Para obter sucesso de ponta-a-ponta nas operações que envolvem imagens e operações de ingresso no domínio, essa conta de ingresso no domínio deve receber essa função de Superadministrador.
Administrador do Suporte Técnico
Uma função que você pode atribuir opcionalmente a um ou mais grupos. O objetivo dessa função é fornecer acesso ao Console Administrativo para que seus grupos do Active Directory com essa função possam trabalhar com os recursos do cartão de usuário para:
n Ver o status das sessões de usuário final.
Função Descrição Administrador
Somente Leitura do Suporte Técnico
Uma função que você pode atribuir opcionalmente a um ou mais grupos. O objetivo dessa função é fornecer acesso ao Console Administrativo para que seus grupos do Active Directory com essa função possam trabalhar com os recursos do cartão de usuário para ver o status das sessões de usuário final.
Administrador de demonstração
Uma função somente leitura que você pode atribuir opcionalmente a um ou mais grupos. Os
administradores de demonstração podem visualizar as configurações e selecionar as opções para ver escolhas adicionais no console, mas as seleções não alteram as definições da configuração.
2 Selecione uma função na lista Funções e clique em Editar.
3 Na caixa de diálogo editar, use a função de pesquisa do Active Directory para selecionar um grupo para a função e clique em Salvar.
Importante Essas funções podem ser atribuídas somente a grupos. O Console Administrativo não fornece uma maneira de escolher contas de usuário individuais do Active Directory para cada função. Esse ponto é fundamental para a conta de ingresso no domínio. Se a conta de ingresso no domínio que você registrou para seu nó inicial já estiver em um dos seus grupos do Active Directory, crie um grupo do Active Directory para essa conta para que você possa garantir que a função de
Superadministrador possa ser atribuída a essa conta de ingresso no domínio. Essa conta de ingresso no domínio deve receber a função de Superadministrador.
Observação Não adicione o mesmo grupo à função de Superadministrador e à função de Administrador de Demonstração. Isso pode fazer com que os usuários nesse grupo não tenham acesso total a todas as funções esperadas.