Horizon Cloud 要求您将 Active Directory (AD) 域中的两个帐户用作服务帐户。本主题介绍了这两个帐户所必须满足的要求。
Horizon Cloud 要求您指定两个 AD 帐户,并将其用作两个服务帐户。
- 域绑定用户,用于在 AD 域中执行查询。
- 域加入帐户,用于将计算机帐户加入域并执行 Sysprep 操作。
您可以使用管理控制台将这些帐户的凭据提供给 Horizon Cloud。
您必须确保为这些服务帐户指定的 AD 帐户满足 Horizon Cloud 执行其操作所需的以下要求。
重要事项: 您还必须确保域绑定帐户和域加入帐户继续具有此处针对您在系统中使用和预计使用的所有 OU 和对象描述的权限。
Horizon Cloud 无法预填充或提前预测您可能想要在环境中使用的 Active Directory 组。您必须使用管理控制台为
Horizon Cloud 配置域绑定帐户和域加入帐户。
域绑定帐户要求
- 域绑定帐户不能过期、更改或被锁定。由于系统使用主域绑定帐户作为服务帐户来查询 Active Directory,因此,您必须使用此类型的帐户配置。如果主域绑定帐户由于某种原因而变得不可访问,则系统会使用辅助域绑定帐户。如果主域绑定帐户和辅助域绑定帐户同时过期或变得不可访问,则您将无法登录到管理控制台并更新配置。
重要事项: 如果主域绑定帐户和辅助域绑定帐户同时过期或变得不可访问,则您将无法使用正常工作的域绑定用户信息登录到管理控制台并更新配置。如果选择不将主域绑定帐户和辅助域绑定帐户设为 永不过期,则应为它们设置不同的过期时间。您将必须跟踪过期时间,并在达到过期时间之前更新 Horizon Cloud 域绑定帐户信息。
- 域绑定帐户需要使用 sAMAccountName 属性。
- 域绑定帐户至少必须具有读取权限,以便能够在 Horizon Cloud 提供的“桌面即服务”操作(例如向最终用户分配桌面虚拟机)中,查找预计会使用的所有 AD 组织单位 (OU) 的 AD 帐户。域绑定帐户需要能够枚举 Active Directory 中的对象。
重要事项: 一般情况下,Active Directory 的默认设置会允许标准域用户帐户执行该枚举操作。但是,如果您限制了 Active Directory 中的安全权限,则必须确保域绑定帐户对预计将在 Horizon Cloud 中使用的所有 OU 和对象具有读取权限。
域加入帐户要求
- 域加入帐户不能更改或被锁定。
- 确保您至少满足以下任一条件:
- 在 Active Directory 中,将域加入帐户设置为永不过期。
- 或者,配置一个辅助域加入帐户,并为其设置与第一个域加入帐户不同的过期时间。如果选择此方法,请确保辅助域加入帐户满足与在管理控制台中配置的主域加入帐户相同的要求。
小心: 如果域加入帐户过期,并且未配置正常工作的辅助域加入帐户, Horizon Cloud 将无法执行封装映像操作,也无法置备场服务器虚拟机和 VDI 桌面虚拟机。 - 域加入帐户需要使用 sAMAccountName 属性。
- 域加入帐户需要具有下表中列出的 AD 权限。
重要事项: 通常,Active Directory 默认会将列表中的某些 AD 权限中分配给帐户。但是,如果您限制了 Active Directory 中的安全权限,则必须确保域加入帐户对预计在 Horizon Cloud 中使用的 OU 和对象具有这些权限。
域加入帐户所需的 AD 权限包括:
- 列出内容
- 读取全部属性
- 写入全部属性
- 读取权限
- 重置密码
- 创建计算机对象
- 删除计算机对象
小心: 如果要使用即时克隆映像,则域加入帐户还需满足其他要求。除了在注册 Active Directory 域时在管理控制台中指定的 OU 之外,域加入帐户还必须对相应的 OU 或子 OU 具有以下所列权限,以在其中放置通过即时克隆映像构建的桌面。
- 列出内容
- 读取全部属性
- 写入全部属性
- 读取权限
- 重置密码
- 创建计算机对象
- 删除计算机对象