在复杂的 Active Directory 环境中,您的组织可能会遇到这样一种情景:容器置备资源已加入某个林的域中,而您的用户帐户位于另一个林的域中,并且您具有外部或林信任,可以允许其域中的用户访问其他域中的资源。本主题介绍了 Horizon Cloud 对遍历那些不同林的域之间的外部信任或林信任的支持。
在管理控制台中,您可以创建所谓的分配,以授权用户和组访问容器置备资源。使用控制台创建 VDI 桌面分配或场时,您可以指定在哪些云注册的域中查找生成的桌面虚拟机或场会话主机虚拟机。您还可以使用控制台来配置分配,以便为 Active Directory 域中的用户和组提供使用这些资源的权限。为适应使用这些复杂的域环境进行这些分配,Horizon Cloud 提供了以下支持:
- 将加入到某个林中域的容器置备资源授权给已加入其他林中域的用户和组使用。
- 单向信任。
重要说明: 不支持将域本地组用于
Horizon Cloud 分配。要授权不同林中的组访问同一分配,必须在每个林中注册一个通用组。
要获得 Horizon Cloud 对外部信任和林信任的支持,您必须:
- 在 Horizon Cloud 中注册所有林(所包含帐户要用于通过连接到云的容器置备的资源)的所有域。系统无法验证林的组,除非在 Horizon Cloud 中注册了组的域。请参阅第一代租户 - 为 Horizon Cloud 控制平面租户执行第一个必需的 Active Directory 域注册和将其他 Active Directory 域注册为 Horizon Cloud 租户环境中的云配置 Active Directory 域。如这些主题中所述,所有连接到云的容器都必须能够查看每个云注册的 Active Directory 域。
- 从林信任的两端注册林根域。即使在林根域中没有用户或桌面,也必须满足此要求。此要求允许 Horizon Cloud 连接到林根并解码相关 TDO(受信任的域对象)。
- 至少为每个林中的一个已注册域启用全局目录。要获得最佳性能,所有已注册的域都应启用全局目录。
- 要授权不同林中的组访问 Horizon Cloud 中的同一分配,必须在每个林中至少注册一个通用组。
- 请遵循林域的 DNS 名称和根命名上下文的层次结构。例如,如果父域名为 example.edu,则子域可以名为 vpc.example.edu,而不是 vpc.com。
- 避免使用外部受信任林中 NETBIOS 名称与其他已注册域冲突的域,因为这些域会从系统的枚举中排除。已注册的 NETBIOS 名称的优先级将高于在系统枚举受信任林域期间找到的冲突性 NETBIOS 名称。