可以使用具有 -T 选项的 vdmadmin 命令为管理员用户提供 Active Directory 辅助凭据。

语法

          vdmadmin
          -T [-b authentication_arguments] -domainauth
 {-add | -update | -remove | -removeall | -list} -ownerdomain\user-userdomain\user [-passwordpassword]

用法说明

如果用户和组所在的域与连接服务器域具有单向信任关系,您必须在 Horizon Administrator 中为管理员用户提供辅助凭据。管理员必须具有辅助凭据才能访问单向信任域。单向信任域可以是外部域,也可以是具有可传递林信任关系的域。

仅 Horizon Administrator 会话需要使用辅助凭据,最终用户的桌面或应用程序会话则不需要使用该凭据。仅管理员用户需要使用辅助凭据。

通过使用 vdmadmin 命令,您可以针对每个用户配置辅助凭据。您无法全局配置指定的辅助凭据。

对于林信任关系,通常只需为林根域配置辅助凭据。然后,连接服务器可以枚举具有林信任关系的子域。

仅当单向信任域中的用户首次登录时,才可执行 Active Directory 帐户锁定、禁用和登录时间检查。

单向信任域不支持对用户进行 PowerShell 管理和智能卡身份验证。不支持对单向信任域中的用户进行 SAML 身份验证。

辅助凭据帐户需要以下权限。标准用户帐户默认应拥有这些权限。

  • 列出内容
  • 读取全部属性
  • 读取权限
  • 读取 tokenGroupsGlobalAndUniversal(“读取全部属性”隐含的权限)

限制

  • 不支持对单向信任域中的用户进行 PowerShell 管理和智能卡身份验证。
  • 不支持对单向信任域中的用户进行 SAML 身份验证。

选项

表 1. 用于提供辅助凭据的选项
选项 说明
-add 为所有者帐户添加辅助凭据。

执行 Windows 登录以验证指定的凭据是否有效。在 View LDAP 中为用户创建外部安全主体 (Foreign Security Principal, FSP)。

-update 更新所有者帐户的辅助凭据。

执行 Windows 登录以验证更新的凭据是否有效。

-list 显示所有者帐户的安全凭据。不会显示密码。
-remove 移除所有者帐户的安全凭据。
-removeall 移除所有者帐户的所有安全凭据。

示例

为指定的所有者帐户添加辅助凭据。执行 Windows 登录以验证指定的凭据是否有效。

vdmadmin -T -domainauth -add -owner domain\user -user domain\user -password password

更新指定的所有者帐户的辅助凭据。执行 Windows 登录以验证更新的凭据是否有效。

vdmadmin -T -domainauth -update -owner domain\user -user domain\user -password password

移除指定的所有者帐户的辅助凭据。

vdmadmin -T -domainauth -remove -owner domain\user -user domain\user

移除指定的所有者帐户的所有辅助凭据。

vdmadmin -T -domainauth -removeall -owner domain\user

显示指定的所有者帐户的所有辅助凭据。不会显示密码。

vdmadmin -T -domainauth -list -owner domain\user