通过使用这些设置,可防止将 Active Directory 域名传达给使用各种 Horizon 客户端但未经授权的用户。这些设置可控制以下方面:向您的 Horizon Cloud 环境注册的 Active Directory 域相关信息是否发送到 Horizon 最终用户客户端,如果发送,在最终用户客户端的登录屏幕中如何显示。

配置您的环境包括向 Active Directory 域注册您的环境。当最终用户使用 Horizon 客户端访问其获得授权的桌面和远程应用程序时,这些域将与其获得授权的访问相关联。在 2019 年 3 月的季度服务版本之前,系统和客户端具有默认行为,且没有用于调整该默认行为的选项。从 2019 年 3 月开始,默认设置有所变化,您可以选择使用新的“域安全性设置”控件来更改默认设置。

重要事项: 更改以下设置后,可能需要长达 5 分钟的时间更新才会生效。

本主题包括以下部分:

域安全性设置

这些设置的组合决定了是否将域信息发送到客户端,以及客户端中的最终用户是否可以使用域选择菜单。

重要事项: 这些设置适用于 Microsoft Azure 中属于同一 Horizon Cloud 环境的所有容器。使用同一 Horizon Cloud 客户帐户(租户)部署在 Microsoft Azure 中的所有容器均具有相同的组合。无论哪个容器正在置备其虚拟桌面和远程应用程序,连接到容器的所有最终用户都将根据这些设置接收相应的行为。
小心: 这些设置改变了用户在客户端中的体验。对于最终用户来说,Horizon Client 版本 5.0 以下的行为与 Horizon Client 5.0(及更高版本)的行为不同。通过特定组合,您可以设定要求来规定最终用户如何在客户端登录屏幕中指定其域信息,尤其是在使用旧客户端、命令行客户端时以及为环境配置了多个 Active Directory 域时。这些设置对于客户端用户体验造成的影响取决于客户端。您可能需要根据贵组织的安全策略来权衡所需的最终用户体验。请参阅以下两节: 单个 Active Directory 域场景和用户登录要求多个 Active Directory 域的场景和用户登录要求
表 1. “常规设置”页面上的域安全设置
选项 说明
仅显示默认域

此选项控制在用户身份验证之前系统将哪些域信息发送到正在进行连接的客户端。

  • - 系统仅发送文本字符串值 *DefaultDomain*
  • - 系统将已注册的 Active Directory 域名列表发送给客户端。
隐藏域字段

此选项根据仅显示默认域设置来控制是否在客户端登录屏幕中显示发送给客户端的所有域相关信息。

  • - 客户端登录屏幕中不显示有关域的任何内容,无论仅显示默认域如何设置。文本字符串值 *DefaultDomain* 和域名都不会显示在客户端登录屏幕中。
  • - 客户端登录屏幕显示以下项目之一,具体取决于仅显示默认域设置。
    • 字面值文本 *DefaultDomain*(如果仅显示默认域设置为)。此组合针对版本低于 5.0 的 Horizon Client 中的用户体验进行了优化,同时提高了安全性。
    • 下拉菜单中域名的列表(如果仅显示默认域设置为)。

此版本与之前版本的默认行为对比

下表详细说明了先前的默认行为、新的默认行为以及一些可用于调整行为以满足组织需求的设置。

先前版本的默认行为 本版本的默认行为 本版本的默认行为对应的域安全性设置组合

系统将已注册的 Active Directory 域的名称发送到客户端。

系统仅将文本字符串值 ( *DefaultDomain*) 发送到客户端,而不会发送已注册的 Active Directory 域的名称。
注: 发送文本字符串为已实施的更低版本 Horizon 客户端提供了支持,这些客户端期望获取域名的字符串列表。
仅显示默认域

默认设置:

客户端在登录屏幕中显示一个下拉菜单,其中显示已注册的 Active Directory 域名的列表,以供用户在登录之前选择自己的域。

客户端显示此文本字符串 *DefaultDomain*

隐藏域字段

默认设置:

与容器的清单级别之间的关系

如果您是现有客户,并且容器是在之前的服务版本中创建的,则在 Microsoft Azure 中的所有容器都更新到 Horizon Cloud 的本版本清单级别之前,您的环境默认配置为与以前的 Horizon Cloud 版本具有相同行为。这种旧行为是:

  • 系统会将 Active Directory 域名发送到客户端(仅显示默认域设置为)。
  • 客户端包含一个下拉菜单,可在最终用户登录前向其显示域名列表(隐藏域字段设置为)。

此外,在所有容器都处于此服务版本级别之前,“常规设置”页面不会显示“域安全性设置”控件。如果您的环境中混合使用现有的未更新容器和在此版本级别新部署的容器,新控件将不可用。因此,直到所有容器都处于本服务版本级别之后,您方可改变旧行为。

更新所有环境的容器后,Horizon Cloud 管理控制台中将提供这些设置。更新后的默认行为将设置为更新前的行为(即,仅显示默认域设置为隐藏域字段设置为)。更新后的默认设置不同于新客户的默认设置。将应用这些设置,因此在更新之后,最终用户可以继续使用更新前的旧行为,直到您选择更改设置以满足组织的安全需求。

单个 Active Directory 域场景和用户登录要求

下表介绍了在以下情况下各种设置组合的行为:您的环境中具有单个 Active Directory 域,但没有双因素身份验证,并且最终用户使用的是 Horizon Client 5.0 和更高版本。

表 2. 在使用 Horizon Client 5.0 和更高版本且具有一个 Active Directory 域情况下的行为
仅显示默认域(已启用发送 *DefaultDomain* 隐藏域字段 Horizon Client 5.0 登录屏幕详细信息 用户登录方式
客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。不发送域名。

以下屏幕截图是为 Windows 客户端创建的登录屏幕外观的示例。


在将“隐藏域字段”设置为“是”的情况下适用于 Windows 的 Horizon Client 5.0 版本的屏幕截图

如果只有一个域,最终用户可以通过在用户名文本框中输入以下任一值来登录。不需要填写域名。
  • username
  • domain\username

可以使用命令行启动客户端并在命令中指定域。

客户端的登录屏幕包含标准的用户名和密码字段。域字段显示 *DefaultDomain*。不发送域名。

以下屏幕截图是为 Windows 客户端创建的登录屏幕外观的示例。


在“仅显示默认域”设置为“是”并且“隐藏域字段”设置为“否”的情况下适用于 Windows 的 Horizon Client 5.0 版本登录屏幕的屏幕截图

如果只有一个域,最终用户可以通过在用户名文本框中输入以下任一值来登录。不需要填写域名。
  • username
  • domain\username

可以使用命令行启动客户端并在命令中指定域。

客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。系统会将域名发送到客户端。
注: 这种组合不太常见。您通常不会使用此组合,因为这会隐藏域字段,即使系统正在发送域名也是如此。

登录屏幕的外观与此表的第一行中所示相同,不会显示域字段。

最终用户必须在用户名文本框中包含域名。
  • domain\username
客户端的登录屏幕包含标准的用户名和密码字段,而且标准下拉式域选择器会显示一个可用的域名。将发送域名。 最终用户可以在用户名文本框中指定其用户名,并可使用在客户端中显示的列表中列出的单个域。

可以使用命令行启动客户端并在命令中指定域。

此表介绍了以下情况下的行为:您的环境中具有单个 Active Directory 域,并且最终用户使用的 Horizon Client 版本低于 5.0。

重要事项: 对于以下所有组合来说,使用命令行启动低于 5.0 的较早客户端并在命令中指定域将会失败。此行为的变通解决方法是:对命令的域选项使用 *DefaultDomain*,或者将客户端更新到 5.0 版本。但如果您有多个 Active Directory 域,传递 *DefaultDomain* 将无效。
表 3. 在 Horizon Client 版本较低(低于 5.0)且具有一个 Active Directory 域情况下的行为
仅显示默认域(已启用发送 *DefaultDomain* 隐藏域字段 Horizon Client 5.0 版本之前的登录屏幕详细信息 用户登录方式
客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。不发送域名。 最终用户必须在用户名文本框中包含域名。
  • domain\username
客户端的登录屏幕包含标准的用户名和密码字段。域字段显示 *DefaultDomain*。不发送域名。 最终用户必须在用户名文本框中输入 username。包括域名时,系统会显示一条错误消息,指出域列表中不存在指定域名。
客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。系统会将域名发送到客户端。
注: 这种组合不太常见。您通常不会使用此组合,因为这会隐藏域字段,即使系统正在发送域名也是如此。

登录屏幕的外观与此表的第一行中所示相同,不会显示域字段。

最终用户必须在用户名文本框中包含域名。
  • domain\username
客户端的登录屏幕包含标准的用户名和密码字段,而且标准下拉式域选择器会显示一个可用的域名。将发送域名。 最终用户可以在用户名文本框中指定其用户名,并可使用在客户端中显示的列表中列出的单个域。

多个 Active Directory 域的场景和用户登录要求

下表介绍了在以下情况下各种设置组合的行为:您的环境中具有多个 Active Directory 域,但没有双因素身份验证,并且最终用户使用的是 Horizon Client 5.0 和更高版本。

通常,最终用户在键入用户名时必须包含域名,如 domain\username,但对于旧组合来说,以下情况例外:域名已经发送并显示在客户端中。

表 4. 在使用 Horizon Client 5.0 和更高版本且具有多个 Active Directory 域情况下的行为
仅显示默认域(已启用发送 *DefaultDomain* 隐藏域字段 Horizon Client 5.0 登录屏幕详细信息 用户登录方式
客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。不发送域名。

以下屏幕截图是为 Windows 客户端创建的登录屏幕外观的示例。


在将“隐藏域字段”设置为“是”的情况下适用于 Windows 的 Horizon Client 5.0 版本的屏幕截图

最终用户必须在用户名文本框中包含域名。
  • domain\username

可以使用命令行启动客户端并在命令中指定域。

客户端的登录屏幕包含标准的用户名和密码字段。域字段显示 *DefaultDomain*。不发送域名。

以下屏幕截图是为 Windows 客户端创建的登录屏幕外观的示例。


在“仅显示默认域”设置为“是”并且“隐藏域字段”设置为“否”的情况下适用于 Windows 的 Horizon Client 5.0 版本登录屏幕的屏幕截图

最终用户必须在用户名文本框中包含域名。
  • domain\username

可以使用命令行启动客户端并在命令中指定域。

客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。系统会将域名发送到客户端。
注: 这种组合不太常见。您通常不会使用此组合,因为这会隐藏域字段,即使系统正在发送域名也是如此。

登录屏幕的外观与此表的第一行中所示相同,不会显示域字段。

最终用户必须在用户名文本框中包含域名。
  • domain\username
客户端的登录屏幕包含标准的用户名和密码字段,而且标准下拉式域选择器会显示域名列表。发送域名称。 最终用户可以在用户名文本框中指定其用户名,并可从客户端中显示的列表中选择域。

可以使用命令行启动客户端并在命令中指定域。

此表介绍了以下情况下的行为:您的环境中具有多个 Active Directory 域,并且最终用户使用的 Horizon Client 版本低于 5.0。

重要事项:
  • 如果将隐藏域字段设置为,则在版本低于 5.0 的 Horizon Client 中,将允许最终用户在用户名文本框中输入自己的域。如果您有多个域,并且希望支持最终用户使用版本低于 5.0 的 Horizon Client,则必须将隐藏域字段设置为,以便最终用户在键入用户名时可以包含域名。
  • 对于以下所有组合来说,使用命令行启动低于 5.0 的较早客户端并在命令中指定域将会失败。如果您具有多个 Active Directory 域并且希望使用命令行启动客户端,那么唯一变通方法就是将客户端更新到 5.0 版本。
表 5. 在 Horizon Client 版本较低(低于 5.0)且具有多个 Active Directory 域情况下的行为
仅显示默认域(已启用发送 *DefaultDomain* 隐藏域字段 Horizon Client 5.0 版本之前的登录屏幕详细信息 用户登录方式
客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。不发送域名。 最终用户必须在用户名文本框中包含域名。
  • domain\username
客户端的登录屏幕包含标准的用户名和密码字段。域字段显示 *DefaultDomain*。不发送域名。 具有多个 Active Directory 域的环境不支持这种组合。
客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。系统会将域名发送到客户端。
注: 这种组合不太常见。您通常不会使用此组合,因为这会隐藏域字段,即使系统正在发送域名也是如此。
最终用户必须在用户名文本框中包含域名。
  • domain\username
客户端的登录屏幕包含标准的用户名和密码字段,而且标准下拉式域选择器会显示一个可用的域名。将发送域名。 最终用户可以在用户名文本框中指定其用户名,并可从客户端中显示的列表中选择域。

关于 Microsoft Azure 中 Unified Access Gateway 实例配置为双因素身份验证的容器

为容器指定双因素身份验证功能中所述,在将容器部署到 Microsoft Azure 中时,您可以选择使用其 Unified Access Gateway 实例上配置的 RADIUS 双因素身份验证来部署该容器。

如果 Microsoft Azure 中的容器使用 RADIUS 双因素身份验证配置了其 Unified Access Gateway,则最终用户尝试通过其 Horizon Client 进行身份验证时,首先将会看到一个要求提供双因素身份验证凭据的屏幕,然后显示要求提供 Active Directory 域凭据的登录屏幕。在这种情况下,仅在最终用户的凭据成功通过初始身份验证屏幕后,系统才会将域列表发送到客户端。

一般来说,如果所有容器在其 Unified Access Gateway 实例上都配置了 RADIUS 双因素身份验证,您可能会考虑让系统向客户端发送域列表,并让客户端显示“域”下拉菜单。该配置可为您的所有最终用户提供相同的旧版最终用户体验,无论他们使用的是哪个版本的 Horizon Client,也无论您有多少个 Active Directory 域。最终用户成功完成双因素身份验证通行码步骤后,可以从第二个登录屏幕的下拉菜单中选择域。这样,最终用户在初始身份验证屏幕中输入凭据时就无需包含域名。

但是,由于域安全性设置是在 Horizon Cloud 客户帐户(租户)级别应用的,因此,如果某些容器未配置双因素身份验证,您可能希望避免发送域列表,因为这些容器会在最终用户登录之前将域名发送至与之连接的客户端。

重要事项: 当容器的双因素身份验证配置将 维护用户名配置为 时,请确保将 隐藏域字段设置为 。否则,您的最终用户将无法提供系统所需的域信息,以便与其登录凭据相关联。

Horizon Client 的最终用户登录要求遵循单个 Active Directory 域场景和用户登录要求多个 Active Directory 域的场景和用户登录要求中所述的相同模式。当连接到配置了 RADIUS 双因素身份验证的容器并且具有多个 Active Directory 域时,如果将隐藏域字段设置为,则最终用户必须将其域名设置为 domain\username