对于 Microsoft Azure 中的容器,从容器清单版本 1230 及更高版本开始,域帐户可以直接连接到安装了代理软件的映像虚拟机。在低于容器清单版本 1230 的版本中,在已加入域的虚拟机中安装的代理软件会阻止域帐户直接连接到该虚拟机。从容器清单版本 1230 开始,您可以使用域帐户登录和自定义映像虚拟机。但是,如果容器的清单版本低于 1230,那么可以使用以下步骤来配置使域帐户远程连接到已导入映像的功能。

您必须能够远程连接并登录到位于 Microsoft Azure 中的映像虚拟机,以便自定义该映像以满足您的组织的需求。如果映像虚拟机已加入 Active Directory 域,并且您的组织制订了禁止在已加入域的虚拟机上使用本地管理员帐户的策略,则您无法登录到映像虚拟机,直到为“DaaS 直接连接用户”本地组配置了要用于自定义该映像的域帐户。

您可以使用远程桌面协议 (RDP) 软件连接到 Microsoft Azure 中的映像虚拟机。作为创建映像虚拟机的整个过程的一部分,将执行以下操作:

  • 使用 2019 年 12 月服务版本之前的“导入虚拟机”向导创建虚拟机时,该虚拟机始终都会加入域。手动创建虚拟机并显式将其加入域时,或者使用 2019 年 12 月服务版本之后的版本中的“导入虚拟机”向导创建虚拟机并选中将虚拟机加入域的向导选项时,也会将虚拟机加入域。在 2019 年 12 月服务版本之前的版本中,“导入虚拟机”向导始终自动将虚拟机加入域。
  • 在虚拟机的 Microsoft Windows 操作系统中安装 Horizon Agent 软件。

默认情况下,该代理软件禁止使用在安装该代理软件时使用的虚拟机本地管理员帐户以外的任何帐户通过 RDP 连接到虚拟机的客户机 Microsoft Windows 系统。例如,在尝试使用作为本地管理员组成员的域管理员帐户通过 RDP 连接到映像虚拟机时,即使最初建立了连接,在 Microsoft Windows 会话启动时,也会显示一条消息。该消息指出,不允许直接连接到您的虚拟桌面。


DaaS Agent 消息指出,不允许直接连接到您的虚拟桌面

不过,某些组织通常制订了在加入域的虚拟机上禁止使用本地管理员帐户的策略。为了允许为域帐户提供通过 RDP 连接并登录以自定义映像虚拟机的功能,安装该代理软件还会创建一个名为“DaaS 直接连接用户”的本地组。该组没有本地管理权限。代理允许该组中的域帐户使用直接 RDP 连接功能连接到桌面。在创建后,“DaaS 直接连接用户”组是空的。要为希望用于自定义映像的域帐户提供 RDP 功能,您可以将这些域用户添加到“DaaS 直接连接用户”本地组中。

以下屏幕截图是一个示例,它在使用“从商城导入虚拟机”向导创建的映像虚拟机上的“本地用户和组”窗口中显示“DaaS 直接连接用户”组。

显示“本地用户和组”窗口并使用绿色箭头指向“DaaS Direct Connect 用户”组的屏幕截图

如果您无法使用本地管理员帐户直接连接到虚拟机,您可以在 Active Directory 环境中使用组策略对象 (Group Policy Object, GPO) 策略将域帐户添加到“DaaS 直接连接用户”组中。以下步骤说明了如何在加入域的虚拟机上使用 GPO 策略的“受限制的组 - 隶属于”方法将成员添加到“DaaS 直接连接用户”组中。

  1. 在 Active Directory 环境中,创建一个新的 GPO。
  2. 右键单击该 GPO 并选择编辑
  3. 在组策略管理编辑器中,导航到计算机配置 > 策略 > Windows 设置 > 安全设置 > 受限制的组
  4. 右键单击受限制的组并选择添加组
  5. 在“添加组”框中,键入“DaaS 直接连接用户”,然后单击确定
  6. 在“属性”对话框中,使用这个组的成员区域及其添加按钮添加您希望能够连接到映像虚拟机的域帐户。
  7. 这个组的成员区域中添加完帐户时,单击确定以关闭“属性”对话框。
  8. 关闭组策略管理编辑器和组策略管理控制台。
  9. 将新创建的 GPO 链接到用于映像虚拟机的同一域。

在将新 GPO 链接到域后,您可以使用这些指定的域帐户之一通过 RDP 连接到映像虚拟机并进行自定义。按照自定义已导入虚拟机的 Windows 操作系统及其子主题中所述的步骤进行操作。