Horizon Cloud 要求您将 Active Directory (AD) 域中的两个帐户用作服务帐户。本主题介绍了这两个帐户所必须满足的要求。

Horizon Cloud 要求您指定两个 AD 帐户,并将其用作两个服务帐户。

  • 域绑定用户,用于在 AD 域中执行查询。
  • 域加入帐户,用于将计算机帐户加入域并执行 Sysprep 操作。
    注: 对于 Microsoft Azure 中的容器,系统在需要将虚拟机加入域的操作中使用该域加入帐户,例如,从 Microsoft Azure 应用商店中导入映像,创建场 RDSH 实例,创建 VDI 桌面实例,等等。

您必须确保为这些服务帐户指定的 Active Directory 帐户满足 Horizon Cloud 执行其操作时所需满足的以下要求。将第一个容器载入您的租户后,可以使用基于云的管理控制台为这些帐户提供凭据。

重要说明:
  • 请不要在 Horizon Cloud Active Directory 域注册以外的配置中使用这些服务帐户。如果在其他配置中重用这些服务帐户,可能会出现意外结果。例如,请不要在 Workspace ONE Access Connector 配置设置中重用此同一个域绑定帐户,否则 Horizon Universal Console中可能会显示有关该域绑定帐户的意外通知。
  • 您还必须确保域绑定帐户和域加入帐户继续具有对您在系统中使用和预计使用的所有 OU 和对象的权限(如此处所述)。Horizon Cloud 无法预填充或提前预测您可能想要在环境中使用的 Active Directory 组。您必须使用控制台为 Horizon Cloud 配置域绑定帐户和域加入帐户。
小心:

尽管您可以在帐户上设置“完全控制”,而不必逐一设置所有权限,但仍建议您逐一设置每个权限。

域绑定帐户 - 所需的特征

  • 域绑定帐户不能过期、更改或被锁定。由于系统使用主域绑定帐户作为服务帐户来查询 Active Directory,因此,您必须使用此类型的帐户配置。如果主域绑定帐户由于某种原因而变得不可访问,则系统会使用辅助域绑定帐户。如果主域绑定帐户和辅助域绑定帐户同时过期或变得不可访问,您将无法登录到基于云的控制台并更新配置。
    重要说明: 如果主域绑定帐户和辅助域绑定帐户都过期或不可访问,您将无法使用当前有效的域绑定帐户信息登录到控制台并更新配置。如果未将主域绑定帐户或辅助域绑定帐户设为 永不过期,则应为它们设置不同的过期时间。您必须跟踪过期时间,并在到达过期时间之前更新 Horizon Cloud 域绑定帐户信息。
  • 域绑定帐户需要使用 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >
  • 域绑定帐户始终分配有超级管理员角色,该角色授予在控制台中执行管理操作所需的所有权限。对于不希望其具有超级管理员权限的那些用户,您应确保他们无法获得域绑定帐户。有关控制台使用的角色的更多信息,请参阅关于为要使用 Horizon Universal Console在 Horizon Cloud 环境中工作的人员提供的两种类型角色的最佳实践

域绑定帐户 - 所需的 Active Directory 权限

域绑定帐户必须具有读取权限,以便能够在 Horizon Cloud 提供的“桌面即服务”操作(例如向最终用户分配桌面虚拟机的操作)中,查找预计会使用的所有 AD 组织单位 (OU) 的 AD 帐户。域绑定帐户需要能够枚举 Active Directory 中的对象。域绑定帐户需要具有对预计在 Horizon Cloud 中使用的所有 OU 和对象的以下权限:

  • 列出内容
  • 读取全部属性
  • 读取权限
  • 读取 tokenGroupsGlobalAndUniversal(“读取全部属性”权限隐含的权限)
重要说明: 一般来说,应为域绑定帐户授予即时可用的读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予 已通过身份验证的用户。在即时可用的 Microsoft Active Directory 部署中,通常向 已通过身份验证的用户授予的这些默认设置会为标准域用户帐户提供执行所需枚举的能力, Horizon Cloud 需要将该枚举用于域绑定帐户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留 已通过身份验证的用户标准默认值。

域加入帐户 - 所需的特征

  • 域加入帐户不能更改或被锁定。
  • 帐户的用户名不能包含空格。如果名称中包含空格,则依赖于该帐户的系统操作将出现意外结果。
  • 域加入帐户需要使用 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >
  • 确保您至少满足以下条件之一:
    • 在 Active Directory 中,将域加入帐户设置为永不过期
    • 或者,配置一个辅助域加入帐户,并为其设置与第一个域加入帐户不同的过期时间。如果选择此方法,请确保辅助域加入帐户满足与在控制台中配置的主域加入帐户相同的要求。
    小心: 如果域加入帐户过期,并且未配置正常工作的辅助域加入帐户,用于封装映像和置备场 RDSH 虚拟机和 VDI 桌面虚拟机的 Horizon Cloud 操作将会失败。
重要说明: 如果您的租户具有任何 Microsoft Azure 中的 Horizon Cloud 容器且其运行的清单版本低于 1600.0,则必须确保您在注册域时输入的域加入帐户也位于您向其分配 Horizon Cloud 超级管理员角色的某个 Active Directory 组中。系统对运行这些旧清单版本的容器执行的操作将取决于拥有由 Horizon Cloud 超级管理员角色所授予权限的域加入帐户。有关如何将该角色分配给组的说明,请参阅 将角色分配给 Active Directory 组,以控制在这些组中的成员对 Horizon Cloud 租户环境进行身份验证后,为他们激活 Horizon Universal Console中的哪些区域

域加入帐户 - 所需的 Active Directory 权限

域加入帐户在租户级别配置。系统使用在 Active Directory 注册过程中配置的相同域加入帐户,来对对租户容器群中的所有容器执行所有与域加入相关的操作。

对于您在 Active Directory 注册工作流中指定的 OU(在该工作流的默认 OU 文本框中指定)以及在所创建的场和 VDI 桌面分配中指定的 OU,如果这些场和 VDI 桌面分配的计算机 OU 文本框不同于 Active Directory 注册中的默认 OU,则系统会对该 OU 中的域加入帐户执行明确的权限检查。

考虑到您可能会使用子 OU 的情况,最佳做法是将这些所需权限设置为应用于计算机 OU 的所有后代对象。

重要说明:
  • 通常,Active Directory 默认会将列表中的某些 AD 权限中分配给帐户。但是,如果您限制了 Active Directory 中的安全权限,则必须确保域加入帐户对预计在 Horizon Cloud 中使用的 OU 和对象具有这些权限。
  • 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置 Prevent Accidental Deletion 属性,该属性会将 Deny 应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的 Deny,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的 Deny 权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。
提示: 对于清单版本为 2474.0 和更高版本的容器,域加入帐户所需的 Active Directory 权限集与之前的权限集相比有所减小,这是为了让租户获得更高的灵活性。但是,由于域加入帐户在租户级别进行配置,因此在对租户容器群中的所有容器执行与域加入相关的操作时,系统将使用相同的域加入帐户。因此,当您的容器群中包含低于清单版本 2474.0 的容器时,您必须确保您的域加入帐户具有这些容器所需的旧权限集。将所有 Microsoft Azure 中的 Horizon 容器都更新到清单版本 2474.0 或更高版本后,您将可以为域加入帐户采用范围有所减小的新版 Active Directory 权限集。
表 1. 当容器群中所有 Microsoft Azure 中的 Horizon 容器都运行清单版本 2474.0 或更高版本时
访问 适用对象
读取全部属性 仅该对象
创建计算机对象 该对象和所有后代对象
删除计算机对象 该对象和所有后代对象
写入全部属性 后代计算机对象
重置密码 后代计算机对象
表 2. 当容器群中有任何 Microsoft Azure 中的 Horizon 容器运行 2474.0 之前的清单版本时
访问 适用对象
列出内容 该对象和所有后代对象
读取全部属性 该对象和所有后代对象
创建计算机对象 该对象和所有后代对象
删除计算机对象 该对象和所有后代对象
写入全部属性 所有后代对象
读取权限 该对象和所有后代对象
重置密码 后代计算机对象