VMware Horizon Composer Server, sanal masaüstlerinin oluşturulması ve yönetimi ile ilgili görevleri gerçekleştirmek için vCenter sunucusuna erişim gerektirir. Bu erişimi kolaylaştırmak için kullanıcı hesabına ek izinler verebilir veya Horizon Composer’ın vCenter Server ve Active Directory’ye erişmek için kullanacağı özel bir Active Directory kullanıcı hesabı oluşturabilirsiniz. Horizon Composer Active Directory hesabı, oluşturduğu sanal masaüstler için Active Directory Computer nesnelerini yönetme izni gerektirir. Bilgisayar nesneleri oluşturmak ve silmek için hesaplara Active Directory ‘ye doğrudan erişim verilmesiyle ilişkili bir risk olduğundan, Horizon Composer hesabına verilen erişimi en aza indirmek güvenlik açısından oldukça önemlidir. Oluşabilecek riski en aza indirmek için aşağıdaki adımların yapılmasını tavsiye ederim.
- Yalnızca Horizon Composer kullanılarak oluşturulan Linked-Clone sanal makineleri için Active Directory’de yeni bir organization Unit (OU) oluşturunuz.
- Horizon Composer Active Directory hesabına, Active Directory bilgisayar hesaplarını yönetmek için gereken minimum izinleri tanımlanır.
Gerekli izinleri tanımlamak için, Horizon Linked-Clone Active Directory bilgisayar hesaplarını içeren OU üzerinde minimum tam kontrole sahip olmanız gerekir. Bu, yalnızca Horizon Composer için gerekli izinleri devretmekle kalmaz, aynı zamanda sağladığınız çeşitli Horizon pool’lar üzerinde ek denetim sağlamak için ek alt OU’lar oluşturma olanağı tanır. Masaüstü bilgisayar havuzlarının Active Directory bilgisayar hesaplarını ayrı OU’lara ayırmak, her biri için grup ilkelerini özelleştirmemizi sağlar.
Güvenliği sağlamak için View Composer ile kullanmak üzere ayrı bir kullanıcı hesabı oluşturmanızı tavsiye ederim. Ayrı bir hesap oluşturarak, hesabın başka bir amaç için tanımlanmış ek ayrıcalıklara sahip olmadığını garanti edebilirsiniz. Hesaba, belirtilen Active Directory kapsayıcısında bilgisayar nesneleri oluşturmak ve kaldırmak için gereken minimum ayrıcalıkları verebilirsiniz.
Horizon Composer için gereken minimum izinleri tanımlamak için;
Domain Controller sunucusu üzerinde “Active Directory Users and Computers” uygulamasın çalıştırınız.
Active Directory üzerinde Delegasyon vermeden önce Horizon Composer için kullanıcı hesabı oluşturunuz.
Bu kullanıcı hesabını Composer sunucusunda local administrators grubuna üye ediniz.
“Active Directory Users and Computers” uygulaması üzerinde sağ tıklatınız ve “Delegate Control” seçeneğini seçiniz.
Açılan yapılandırma sihirbazının karşılama adımında sihirbazı başlatmak için “Next” butonunu basılır.
“User or Groups” adımında Composer servisi hesabını eklemek için “Add…” butonu seçilir.
Composer servis hesabı seçildikten sonra “Next” ile yapılandırma sihirbazının bir sonraki adımına geçilir.
“Task to Delegate” adımında “Create a custom task to delegate” seçeneği seçilir.
Açılan “Active Directory Object Type” adımında öncelikle “Only the following object in the folder” seçilir. Bu ekranın orta kısmında yer alan seçeneklerde sadece “Computer objects” seçilir. Ekranın alt kısmında yer alan “Create selected object in this folder” ve “Delete selected object in this folder”
“Permissons” adımında “Show these permissions” bölümünde; “General”, “Property-specific” ve “Creation/deletion of specific child objects” kutucukları seçilir. Ardından “Read”, “Read All Properties”, “Write All Properties” ve “Reset password” izinleri seçilir.
İzinler tanımlandıktan sonra “Next” ile yapılandırma sihirbazının bir sonraki adımına geçilir.
“Completing the Delegation of Control Wizard” adımında “Finish” butonu ile sihirbaz sonlandırılır.
Not : Masaüstü havuzu için önceden var olan bilgisayar hesaplarının yeniden kullanılmasına izin ver ayarını seçerseniz “Allow reuse of pre-existing computer accounts” ek izinlerin de tanımlanması gerekir.