Miquel Mariano
by Miquel Mariano
3 min read

Tags

Buenos dias a tod@s!!

En la siguiente serie de posts, pretendo explicar durante las próximas semanas el paso a paso para instalar un entorno JMP (Just-in-Time Management Platform) utilizando VMware Horizon 7 Instant Clones + App Volumes + VMware UEM (User Environment Manager)

  • Part 1: Introducción
  • Part 2: Preparar servidor SQL
  • Part 3: Preparar Active Directory
  • Part 4: Instalación y configuración Connection Server
  • Part 5: Instalación y configuración Replica Server
  • Part 6: Instalación y configuración de Security Server
  • Part 7: Instalación y configuración de UAG
  • Part 8: Instalación certificado (opcional)
  • Part 9: Preparar plantilla master para Instant Clone
  • Part 10: Configurar un pool de Instant Clone
  • Part 11: Instalar App Volumes
  • Part 12: Configuración inicial App Volumes
  • Part 13: Crear nuestro primer App Stack
  • Part 14: Trabajando con Writable Volumes
  • Part 15: User Environment Manager Installation
  • Part 16: Primeros pasos con UEM
  • Part 17: Instalación y configuración JMP Server
  • Part 18: Aprovisionamiento con JMP

Preparar Active Directory

Para que nuestro entorno funcione correctamente, necesitaremos de almenos 2 usuarios que tendrán funciones diferentes:

  • Horizon_VC: Es el usuario que usaremos para conectar el Connection Server con nuestro vCenter y será el encargado de desplegar las máquinas virtuales

  • Horizon_IC: Este usuario es el que utilizaremos para vincular nuestros VDI a nuestra infraestructura AD. Será el encargado de asignar al dominio nuestros escritorios Instant Clone

NOTA: A mi personalmente me gusta segmentar los usuarios por tareas, pero tampoco habria ningún tipo de problema en utilizar el mismo usuario para ambas cosas.

Antes de empezar a crear las cuentas, crearemos una OU llamada VDI que va a ser donde estarán los escritorios que se vayan desplegando.

ad1

Creamos el usuario Horizon_VC:

ad2

ad3

ad4

Ahora, es el momento de dar permisos al usuario que acabamos de crear a nuestro vCenter para que pueda crear máquinas virtuales.

Accederemos a nuestro vCenter con un usuario con permisos de administración global y nos vamos en el apartado de roles:

ad5

Item Permision
Folder Create folder
  Delete folder
Datastore Allocate space
  Browse datastore
  Low level file operations
Host In Inventory
  - Modify Cluster
Virtual machine In Configuration (all)
  In Interaction:
  - Power Off
  - Power On
  - Reset
  - Suspend
  - Perform wipe or shrink operations
  - Device connection
  In Inventory (all)
  In Snapshot management (all)
  In Provisioning:
  - Customize
  - Deploy template
  - Read customization specifications
  - Clone template
  - Clone Virtual Machine
  - Allow disk access
Resource Assign virtual machine to resource pool
  The following privilege is required to perform View Composer rebalance operations.
  Migrate powered off virtual machine
Global Enable methods
  Disable methods
  System tag
  Manage custom attributes
  Set custom attribute
  The following privilege is required to implement View Storage Accelerator, which enables ESXi host caching. The vCenter Server user requires this privilege even if you do not use View Storage Accelerator.
  Act as vCenter Server
Network (all)
Profile Driven Storage (all–If you are using Virtual SAN datastores or Virtual Volumes)
Storage views View

Ahora que tenemos el role creado, le asignaremos estos permisos al usuario previamente creado Horizon_VC a nivel de vCenter.

ad6

Llegados a este punto, es el momento de crear el usuario que utilizará horizon para crear cuentas de equipo en nuestro Active directory. Crearemos el usuario Horizon_IC de igual forma que hemos creado el otro usuario.

ad7

A este usuario, deberemos asignarle ciertos permisos especiales sobre la OU dedicada para VDI:

ad8

ad9

ad10

Los permisos a asignar son:

  • List Contents
  • Read All Properties
  • Write All Properties
  • Read Permissions
  • Create Computer Objects
  • Delete Computer Objects

Y comprobamos que se han asignado los permisos especiales:

ad11

Para finaliar el procedimiento, le tendremos que delegar el control sobre esta OU al usuario que hemos creado, de la siguiente forma:

ad12

ad13

ad14

ad15

ad16

ad17

ad18

Para finalizar con esta parte de AD, también crearemos un grupo de seguridad, que nos servirá para agrupar los usuarios que podrán administrar la plataforma Horizon.

ad19

ad20

Espero que os sirva.

Nos vemos en el próximo post: Part 4: Instalación y configuración Connection Server

Un saludo!

Miquel.