配置身份提供程序后,可在内部部署 Active Directory 上创建两个域绑定帐户和两个域加入帐户。稍后,您将使用 Horizon Universal Console 将这些帐户的详细信息提供给 Horizon Cloud

Horizon Cloud 要求指定使用以下 AD 帐户的两个实例来作为服务帐户。

  • 域绑定用户,用于在 AD 域中执行查询。
  • 域加入帐户,用于将计算机帐户加入域、从域中移除计算机账户并执行 Sysprep 操作。
重要说明:

关于为这些服务帐户指定的 Active Directory 帐户,应遵循以下指导原则。

  • 如果主域绑定帐户和辅助域绑定帐户同时过期或变得不可访问,单点登录将无法正常工作,并且您无法加入新桌面。如果未将主域绑定帐户或辅助域绑定帐户设为永不过期,请确保它们的过期时间不同。您必须跟踪过期时间,并在到达过期时间之前更新 Horizon Cloud 域绑定帐户信息。
  • 如果主域加入帐户和辅助域加入帐户同时过期或变得不可访问,单点登录将无法正常工作,因此您将无法加入新桌面。如果未将主域加入帐户或辅助域加入帐户设为永不过期,请确保它们的过期时间不同。您必须跟踪过期时间,并在到达过期时间之前更新 Horizon Cloud 域加入帐户信息。

域绑定帐户 - 所需的 Active Directory 权限

域绑定帐户必须具有读取权限,以便能够在 Horizon Cloud 提供的“桌面即服务”操作(例如向最终用户分配桌面虚拟机的操作)中,查找预计会使用的所有 AD 组织单位 (OU) 的 AD 帐户。域绑定帐户需要能够枚举 Active Directory 中的对象。域绑定帐户需要具有对预计在 Horizon Cloud 中使用的所有 OU 和对象的以下权限:

  • 列出内容
  • 读取全部属性
  • 读取权限
  • 读取 tokenGroupsGlobalAndUniversal(“读取全部属性”权限隐含的权限)
重要说明: 一般来说,应为域绑定帐户授予即时可用的读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予 已通过身份验证的用户。在即时可用的 Microsoft Active Directory 部署中,通常向 已通过身份验证的用户授予的这些默认设置会为标准域用户帐户提供执行所需枚举的能力, Horizon Cloud 需要将该枚举用于域绑定帐户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留 已通过身份验证的用户标准默认值。

域加入帐户 - 所需的 Active Directory 权限

域加入帐户在租户级别配置。系统使用在 Active Directory 注册过程中配置的相同域加入帐户,来对对租户容器群中的所有容器执行所有与域加入相关的操作。

对于您在 Active Directory 注册工作流中指定的 OU(在该工作流的默认 OU 文本框中指定)以及在所创建的场和 VDI 桌面分配中指定的 OU,如果这些场和 VDI 桌面分配的计算机 OU 文本框不同于 Active Directory 注册中的默认 OU,则系统会对该 OU 中的域加入帐户执行明确的权限检查。

考虑到您可能会使用子 OU 的情况,最佳做法是将这些所需权限设置为应用于计算机 OU 的所有后代对象。

重要说明:
  • 通常,Active Directory 默认会将列表中的某些 AD 权限中分配给帐户。但是,如果您限制了 Active Directory 中的安全权限,则必须确保域加入帐户对预计在 Horizon Cloud 中使用的 OU 和对象具有这些权限。
  • 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Universal Console 中使用域加入帐户。

重用计算机帐户

必须使用以下步骤,为域加入用户帐户授予重用现有计算机帐户的权限:

  • 创建新的通用安全组。
  • 将所有域加入用户帐户添加到新的安全组。
  • 对于所有相关的组策略对象 (Group Policy Object, GPO),激活域控制器: 允许在域加入期间重用计算机帐户
  • 单击编辑安全...
  • 受信任计算机帐户所有者的安全设置对话框中,单击添加...
  • 选择新的安全组,然后单击确定

对每个域执行上述步骤。