Buenos dias a tod@s!!

En la siguiente serie de posts, pretendo explicar durante las próximas semanas el paso a paso para instalar un entorno JMP (Just-in-Time Management Platform) utilizando VMware Horizon 7 Instant Clones + App Volumes + VMware UEM (User Environment Manager)

Preparar Active Directory

Para que nuestro entorno funcione correctamente, necesitaremos de almenos 2 usuarios que tendrán funciones diferentes:

Horizon_VC: Es el usuario que usaremos para conectar el Connection Server con nuestro vCenter y será el encargado de desplegar las máquinas virtuales
Horizon_IC: Este usuario es el que utilizaremos para vincular nuestros VDI a nuestra infraestructura AD. Será el encargado de asignar al dominio nuestros escritorios Instant Clone

NOTA: A mi personalmente me gusta segmentar los usuarios por tareas, pero tampoco habria ningún tipo de problema en utilizar el mismo usuario para ambas cosas.

Antes de empezar a crear las cuentas, crearemos una OU llamada VDI que va a ser donde estarán los escritorios que se vayan desplegando.

Creamos el usuario Horizon_VC:

Ahora, es el momento de dar permisos al usuario que acabamos de crear a nuestro vCenter para que pueda crear máquinas virtuales.

Accederemos a nuestro vCenter con un usuario con permisos de administración global y nos vamos en el apartado de roles:

Item	Permision
Folder	Create folder
	Delete folder
Datastore	Allocate space
	Browse datastore
	Low level file operations
Host	In Inventory
	- Modify Cluster
Virtual machine	In Configuration (all)
	In Interaction:
	- Power Off
	- Power On
	- Reset
	- Suspend
	- Perform wipe or shrink operations
	- Device connection
	In Inventory (all)
	In Snapshot management (all)
	In Provisioning:
	- Customize
	- Deploy template
	- Read customization specifications
	- Clone template
	- Clone Virtual Machine
	- Allow disk access
Resource	Assign virtual machine to resource pool
	The following privilege is required to perform View Composer rebalance operations.
	Migrate powered off virtual machine
Global	Enable methods
	Disable methods
	System tag
	Manage custom attributes
	Set custom attribute
	The following privilege is required to implement View Storage Accelerator, which enables ESXi host caching. The vCenter Server user requires this privilege even if you do not use View Storage Accelerator.
	Act as vCenter Server
Network	(all)
Profile Driven Storage	(all–If you are using Virtual SAN datastores or Virtual Volumes)
Storage views	View

Ahora que tenemos el role creado, le asignaremos estos permisos al usuario previamente creado Horizon_VC a nivel de vCenter.

Llegados a este punto, es el momento de crear el usuario que utilizará horizon para crear cuentas de equipo en nuestro Active directory. Crearemos el usuario Horizon_IC de igual forma que hemos creado el otro usuario.

A este usuario, deberemos asignarle ciertos permisos especiales sobre la OU dedicada para VDI:

Los permisos a asignar son:

List Contents
Read All Properties
Write All Properties
Read Permissions
Create Computer Objects
Delete Computer Objects

Y comprobamos que se han asignado los permisos especiales:

Para finaliar el procedimiento, le tendremos que delegar el control sobre esta OU al usuario que hemos creado, de la siguiente forma:

Para finalizar con esta parte de AD, también crearemos un grupo de seguridad, que nos servirá para agrupar los usuarios que podrán administrar la plataforma Horizon.

Espero que os sirva.

Nos vemos en el próximo post: Part 4: Instalación y configuración Connection Server

Un saludo!

Miquel.