可以使用具有 -T 选项的 vdmadmin 命令为管理员用户提供 Active Directory 辅助凭据。
语法
vdmadmin
-T [-b authentication_arguments] -domainauth
{-add | -update | -remove | -removeall | -list} -ownerdomain\user-userdomain\user [-passwordpassword]
用法说明
如果用户和组所在的域与连接服务器域具有单向信任关系,您必须在 Horizon Administrator 中为管理员用户提供辅助凭据。管理员必须具有辅助凭据才能访问单向信任域。单向信任域可以是外部域,也可以是具有可传递林信任关系的域。
仅 Horizon Administrator 会话需要使用辅助凭据,最终用户的桌面或应用程序会话则不需要使用该凭据。仅管理员用户需要使用辅助凭据。
通过使用 vdmadmin 命令,您可以针对每个用户配置辅助凭据。您无法全局配置指定的辅助凭据。
对于林信任关系,通常只需为林根域配置辅助凭据。然后,连接服务器可以枚举具有林信任关系的子域。
仅当单向信任域中的用户首次登录时,才可执行 Active Directory 帐户锁定、禁用和登录时间检查。
单向信任域不支持对用户进行 PowerShell 管理和智能卡身份验证。不支持对单向信任域中的用户进行 SAML 身份验证。
辅助凭据帐户需要以下权限。标准用户帐户默认应拥有这些权限。
- 列出内容
- 读取全部属性
- 读取权限
- 读取 tokenGroupsGlobalAndUniversal(“读取全部属性”隐含的权限)
限制
- 不支持对单向信任域中的用户进行 PowerShell 管理和智能卡身份验证。
- 不支持对单向信任域中的用户进行 SAML 身份验证。
选项
| 选项 | 说明 |
|---|---|
| -add | 为所有者帐户添加辅助凭据。 执行 Windows 登录以验证指定的凭据是否有效。在 View LDAP 中为用户创建外部安全主体 (Foreign Security Principal, FSP)。 |
| -update | 更新所有者帐户的辅助凭据。 执行 Windows 登录以验证更新的凭据是否有效。 |
| -list | 显示所有者帐户的安全凭据。不会显示密码。 |
| -remove | 移除所有者帐户的安全凭据。 |
| -removeall | 移除所有者帐户的所有安全凭据。 |
示例
为指定的所有者帐户添加辅助凭据。执行 Windows 登录以验证指定的凭据是否有效。
vdmadmin -T -domainauth -add -owner domain\user -user domain\user -password password
更新指定的所有者帐户的辅助凭据。执行 Windows 登录以验证更新的凭据是否有效。
vdmadmin -T -domainauth -update -owner domain\user -user domain\user -password password
移除指定的所有者帐户的辅助凭据。
vdmadmin -T -domainauth -remove -owner domain\user -user domain\user
移除指定的所有者帐户的所有辅助凭据。
vdmadmin -T -domainauth -removeall -owner domain\user
显示指定的所有者帐户的所有辅助凭据。不会显示密码。
vdmadmin -T -domainauth -list -owner domain\user
