您必须将每个连接服务器主机加入到 Active Directory 域。主机不能是域控制器。

Active Directory 还会管理 Horizon Agent 计算机（包括单用户计算机和 RDS 主机），以及 Horizon 7 部署中的用户和组。您可以授权用户和组访问远程桌面和应用程序，以及在 Horizon Administrator 中选择用户和组以作为管理员。

您可以将 Horizon Agent 计算机、View Composer Server，以及用户和组置于以下 Active Directory 域中：

• 连接服务器域
• 与连接服务器域之间具有双向信任关系的其他域
• 与连接服务器域位于不同的林中且与连接服务器域之间存在单向外部或领域信任关系的域
• 与连接服务器域位于不同的林中且与连接服务器域之间存在单向或双向可传递林信任关系的域

将使用 Active Directory 针对连接服务器域以及与其存在信任协议的任何其他用户域对用户进行身份验证。

如果用户和组位于单向信任域中，您必须在 Horizon Administrator 中为管理员用户提供辅助凭据。管理员必须具有辅助凭据才能访问单向信任域。单向信任域可以是外部域，也可以是具有可传递林信任关系的域。

仅 Horizon Administrator 会话需要使用辅助凭据，最终用户的桌面或应用程序会话则不需要使用该凭据。仅管理员用户需要使用辅助凭据。

您可以使用 vdmadmin -T 命令提供辅助凭据。

• 您可以为各个管理员用户配置辅助凭据。
• 对于林信任关系，您可以为林根域配置辅助凭据。然后，连接服务器可以枚举具有林信任关系的子域。

有关更多信息，请参阅《Horizon 7 管理指南》文档中的“使用 -T 选项为管理员提供辅助凭据”。

单向受信任的域不支持对用户进行智能卡和 SAML 身份验证。

在对受信任的域中的用户进行身份验证时，单向信任环境中不支持未验证访问。例如，有域 A 和域 B 两个域，其中域 B 具有对域 A 的单向出站信任。如果在域 B 中的连接服务器上启用未验证访问，并从域 A 中的用户列表中添加未验证访问用户，然后授权该未验证用户访问已发布的桌面或应用程序池，则用户无法从 Horizon Client 以未验证访问用户身份登录。

从 Horizon 7 版本 7.10 开始，单向信任域中支持适用于 Windows 的 Horizon Client 中的以当前用户身份登录功能。