A partir da versão 1230 e posteriores do manifesto do pod para pods no Microsoft Azure, as contas de domínio podem se conectar diretamente a máquinas virtuais de imagem que tenham o software do agente instalado. Antes do manifesto do pod 1230, o software do agente instalado em uma VM ingressada no domínio impedia que as contas de domínio se conectassem diretamente a essa VM. A partir do manifesto do pod 1230, você pode usar uma conta de domínio para fazer login e personalizar a imagem mestre. No entanto, se o pod estiver em um manifesto anterior a 1230, você poderá usar essas etapas para configurar a capacidade de contas de domínio se conectarem remotamente à imagem importada.

Para que você possa personalizar a imagem mestre para as necessidades da sua organização, você deve ser capaz de se conectar remotamente e fazer login na máquina virtual da imagem localizada no Microsoft Azure. Se a imagem mestre ingressar em um domínio do Active Directory e sua organização tiver uma política que impede o uso de contas de administrador local nas VMs que ingressaram em um domínio, você não poderá fazer login na imagem mestre até que configure o grupo local DaaS Direct Connect Users com as contas de domínio que deseja usar para personalizar a imagem.

Você pode se conectar às VMs de imagem mestre no Microsoft Azure usando seu software de Protocolo RDP. Como parte do processo geral de criação da VM de imagem mestre, estes itens são aplicados:

  • A VM é sempre unida ao domínio quando foi criada usando o assistente de Importação de Máquina Virtual antes da versão de serviço de dezembro de 2019. A VM também ingressou no domínio quando foi criada manualmente e você a ingressou explicitamente no domínio ou quando foi criada usando o assistente de Importação de Máquina Virtual após a versão de serviço de dezembro de 2019 e selecionou a opção do assistente para ingressar no domínio. Antes da versão do serviço de dezembro de 2019, o assistente de Importação de Máquina Virtual sempre ingressava automaticamente a VM no domínio.
  • O software Horizon Agent está instalado no sistema operacional Microsoft Windows da VM.

Por padrão, o software do agente impede o uso de qualquer conta para realizar RDP no sistema convidado Microsoft Windows da VM diferente da conta de administrador local da VM com a qual o software do agente foi instalado. Por exemplo, quando você tenta realizar RDP na VM mestre usando uma conta de administrador de domínio que seja um membro do grupo local de Administradores, mesmo que a conexão seja estabelecida inicialmente, durante o início de sessão do Microsoft Windows, uma mensagem é exibida. A mensagem afirma que a conexão direta com a sua área de trabalho virtual não é permitida.


A mensagem do DaaS Agent afirma que a conexão direta à sua área de trabalho virtual não é permitida

No entanto, algumas empresas geralmente têm políticas que impedem o uso da conta do administrador local em VMs que ingressaram no domínio. Para permitir o fornecimento de contas de domínio com a capacidade de realizar RDP e fazer login para personalizar a VM mestre, instalar o software do agente também cria um grupo local chamado DaaS Direct Connect Users. Esse grupo não tem direitos de administração local. O agente permite que as contas de domínio nesse grupo se conectem à área de trabalho usando uma conexão RDP direta. O grupo DaaS Direct Connect Users está vazio quando é criado. Para fornecer o recurso RDP a essas contas de domínio que você deseja usar para personalizar a imagem, adicione esses usuários de domínio ao grupo local DaaS Direct Connect Users.

A seguinte captura de tela é um exemplo que mostra o grupo DaaS Direct Connect Users na janela Usuários e Grupos Locais em uma imagem mestre que foi criada usando o assistente de Importação de Imagem.

Captura de tela que exibe a janela Usuários e Grupos Locais e uma seta verde apontando para o grupo DaaS Direct Connect Users

Quando você não puder se conectar diretamente à VM usando a conta de administrador local, use uma política de Objeto de Política de Grupo (GPO) no seu ambiente do Active Directory para adicionar contas de domínio ao grupo DaaS Direct Connect Users. As seguintes etapas descrevem o uso do método Grupos Restritos - Membros da política de GPO para adicionar membros ao grupo DaaS Direct Connect Users na VM que ingressou no domínio.

  1. No seu ambiente do Active Directory, crie um novo GPO.
  2. Clique com o botão direito em GPO e selecione Editar.
  3. No Editor de Gerenciamento de Políticas de Grupo, navegue até Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Grupos Restritos.
  4. Clique com o botão direito em Grupos restritos e selecione Adicionar grupo.
  5. Na caixa Adicionar Grupo, digite DaaS Direct Connect Users e clique em OK.
  6. Na caixa de diálogo Propriedades, use a área de Membros deste grupo e o botão Adicionar para adicionar essas contas de domínio que você deseja que possam se conectar à VM mestre.
  7. Quando você terminar de adicionar contas à área Membros deste grupo, clique em OK para fechar a caixa de diálogo Propriedades.
  8. Feche o Editor de Gerenciamento de Política de Grupo e o Console de Gerenciamento de Política de Grupo.
  9. Vincule o GPO recém-criado ao mesmo domínio que é usado para a VM mestre.

Depois que o novo GPO estiver vinculado ao domínio, você poderá usar uma dessas contas de domínio especificadas para realizar RDP na VM mestre e personalizá-la. Siga as etapas conforme descrito em Personalizar o sistema operacional Windows da VM de imagem importada e seus subtópicos.