“常规设置”页面上的域安全性设置

通过使用这些设置，可防止将 Active Directory 域名传达给使用各种 Horizon 客户端但未经授权的用户。这些设置可控制以下方面：向您的 Horizon Cloud 环境注册的 Active Directory 域相关信息是否发送到 Horizon 最终用户客户端，如果发送，那么在最终用户客户端的登录屏幕中如何显示。

配置环境时，需要向 Active Directory 域注册您的环境。当最终用户使用 Horizon 客户端访问其获得授权的桌面和远程应用程序时，这些域将与其获得授权的访问相关联。在 2019 年 3 月发行的 Horizon Cloud 版本之前，系统和客户端具有默认行为，且没有用于调整该默认行为的选项。从 2019 年 3 月开始，默认设置有所变化，您可以选择使用新的“域安全性设置”控件来更改默认设置。

重要事项：更改以下设置后，可能需要长达 5 分钟的时间更新才会生效。

本主题包括以下部分：

域安全性设置
此版本与之前版本的默认行为对比
单个 Active Directory 域场景和用户登录要求
多个 Active Directory 域的场景和用户登录要求
当租户配置了双因素身份验证时

域安全性设置

这些设置的组合决定了是否将域信息发送到客户端，以及客户端中的最终用户是否可以使用域选择菜单。

小心：这些设置改变了用户在客户端中的体验。对于最终用户来说，Horizon Client 版本 5.0 以下的行为与 Horizon Client 5.0（及更高版本）的行为不同。通过特定组合，您可以设定要求来规定最终用户如何在客户端登录屏幕中指定其域信息，尤其是在使用旧客户端、命令行客户端时以及为环境配置了多个 Active Directory 域时。这些设置对于客户端用户体验造成的影响取决于客户端。您可能需要根据贵组织的安全策略来权衡所需的最终用户体验。请参阅以下两节：单个 Active Directory 域场景和用户登录要求和多个 Active Directory 域的场景和用户登录要求。

表 1. “常规设置”页面上的域安全设置
选项	说明
仅显示默认域	此选项控制在用户身份验证之前系统将哪些域信息发送到正在进行连接的客户端。是 - 系统仅发送文本字符串值 `DefaultDomain`。否 - 系统将已注册的 Active Directory 域名列表发送给客户端。
隐藏域字段	此选项根据仅显示默认域设置来控制是否在客户端登录屏幕中显示发送给客户端的所有域相关信息。是 - 客户端登录屏幕中不显示有关域的任何内容，无论仅显示默认域如何设置。文本字符串值 `DefaultDomain` 和域名都不会显示在客户端登录屏幕中。否 - 客户端登录屏幕显示以下项目之一，具体取决于仅显示默认域设置。字面值文本 `DefaultDomain`（如果仅显示默认域设置为是）。此组合针对版本低于 5.0 的 Horizon Client 中的用户体验进行了优化，同时提高了安全性。下拉菜单中域名的列表（如果仅显示默认域设置为否）。

此版本与之前版本的默认行为对比

下表详细说明了先前的默认行为、新的默认行为以及一些可用于调整行为以满足组织需求的设置。


先前版本的默认行为	本版本的默认行为	本版本的默认行为对应的域安全性设置组合
系统将已注册的 Active Directory 域的名称发送到客户端。	系统仅将文本字符串值 ( `DefaultDomain`) 发送到客户端，而不会发送已注册的 Active Directory 域的名称。注：发送文本字符串为已实施的更低版本 Horizon 客户端提供了支持，这些客户端期望获取域名的字符串列表。	仅显示默认域默认设置：是
客户端在登录屏幕中显示一个下拉菜单，其中显示已注册的 Active Directory 域名的列表，以供用户在登录之前选择自己的域。	客户端显示此文本字符串 `DefaultDomain`。	隐藏域字段默认设置：否

单个 Active Directory 域场景和用户登录要求

下表介绍了在以下情况下各种设置组合的行为：您的环境中具有单个 Active Directory 域，但没有双因素身份验证，并且最终用户使用的是 Horizon Client 5.0 和更高版本。

表 2. 在使用 Horizon Client 5.0 和更高版本且具有一个 Active Directory 域情况下的行为
仅显示默认域（已启用发送 `DefaultDomain`）	隐藏域字段	Horizon Client 5.0 登录屏幕详细信息	用户登录方式
是	是	客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。不发送域名。以下屏幕截图是为 Windows 客户端创建的登录屏幕外观的示例。	如果只有一个域，最终用户可以通过在用户名文本框中输入以下任一值来登录。不需要填写域名。 `username` `domain\username` 可以使用命令行启动客户端并在命令中指定域。
是	否	客户端的登录屏幕包含标准的用户名和密码字段。域字段显示 `DefaultDomain`。不发送域名。以下屏幕截图是为 Windows 客户端创建的登录屏幕外观的示例。	如果只有一个域，最终用户可以通过在用户名文本框中输入以下任一值来登录。不需要填写域名。 `username` `domain\username` 可以使用命令行启动客户端并在命令中指定域。
否	是	客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。系统会将域名发送到客户端。注：这种组合不太常见。您通常不会使用此组合，因为这会隐藏域字段，即使系统正在发送域名也是如此。登录屏幕的外观与此表的第一行中所示相同，不会显示域字段。	最终用户必须在用户名文本框中包含域名。 `domain\username`
否	否	客户端的登录屏幕包含标准的用户名和密码字段，而且标准下拉式域选择器会显示一个可用的域名。将发送域名。	最终用户可以在用户名文本框中指定其用户名，并可使用在客户端中显示的列表中列出的单个域。可以使用命令行启动客户端并在命令中指定域。

此表介绍了以下情况下的行为：您的环境中具有单个 Active Directory 域，并且最终用户使用的 Horizon Client 版本低于 5.0。

重要事项：对于以下所有组合来说，使用命令行启动低于 5.0 的较早客户端并在命令中指定域将会失败。此行为的变通解决方法是：对命令的域选项使用 *DefaultDomain*，或者将客户端升级到 5.0 版本。但如果您有多个 Active Directory 域，传递 *DefaultDomain* 将无效。

表 3. 在 Horizon Client 版本较低（低于 5.0）且具有一个 Active Directory 域情况下的行为
仅显示默认域（已启用发送 `DefaultDomain`）	隐藏域字段	Horizon Client 5.0 版本之前的登录屏幕详细信息	用户登录方式
是	是	客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。不发送域名。	最终用户必须在用户名文本框中包含域名。 `domain\username`
是	否	客户端的登录屏幕包含标准的用户名和密码字段。域字段显示 `DefaultDomain`。不发送域名。	最终用户必须在用户名文本框中输入 `username`。包括域名时，系统会显示一条错误消息，指出域列表中不存在指定域名。
否	是	客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。系统会将域名发送到客户端。注：这种组合不太常见。您通常不会使用此组合，因为这会隐藏域字段，即使系统正在发送域名也是如此。登录屏幕的外观与此表的第一行中所示相同，不会显示域字段。	最终用户必须在用户名文本框中包含域名。 `domain\username`
否	否	客户端的登录屏幕包含标准的用户名和密码字段，而且标准下拉式域选择器会显示一个可用的域名。将发送域名。	最终用户可以在用户名文本框中指定其用户名，并可使用在客户端中显示的列表中列出的单个域。

多个 Active Directory 域的场景和用户登录要求

下表介绍了在以下情况下各种设置组合的行为：您的环境中具有多个 Active Directory 域，但没有双因素身份验证，并且最终用户使用的是 Horizon Client 5.0 和更高版本。

通常，最终用户在键入用户名时必须包含域名，如 domain\username，但对于旧组合来说，以下情况例外：域名已经发送并显示在客户端中。

表 4. 在使用 Horizon Client 5.0 和更高版本且具有多个 Active Directory 域情况下的行为
仅显示默认域（已启用发送 `DefaultDomain`）	隐藏域字段	Horizon Client 5.0 登录屏幕详细信息	用户登录方式
是	是	客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。不发送域名。以下屏幕截图是为 Windows 客户端创建的登录屏幕外观的示例。	最终用户必须在用户名文本框中包含域名。 `domain\username` 可以使用命令行启动客户端并在命令中指定域。
是	否	客户端的登录屏幕包含标准的用户名和密码字段。域字段显示 `DefaultDomain`。不发送域名。以下屏幕截图是为 Windows 客户端创建的登录屏幕外观的示例。	最终用户必须在用户名文本框中包含域名。 `domain\username` 可以使用命令行启动客户端并在命令中指定域。
否	是	客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。系统会将域名发送到客户端。注：这种组合不太常见。您通常不会使用此组合，因为这会隐藏域字段，即使系统正在发送域名也是如此。登录屏幕的外观与此表的第一行中所示相同，不会显示域字段。	最终用户必须在用户名文本框中包含域名。 `domain\username`
否	否	客户端的登录屏幕包含标准的用户名和密码字段，而且标准下拉式域选择器会显示域名列表。发送域名称。	最终用户可以在用户名文本框中指定其用户名，并可从客户端中显示的列表中选择域。可以使用命令行启动客户端并在命令中指定域。

此表介绍了以下情况下的行为：您的环境中具有多个 Active Directory 域，并且最终用户使用的 Horizon Client 版本低于 5.0。

重要事项：

如果将隐藏域字段设置为是，则在版本低于 5.0 的 Horizon Client 中，将允许最终用户在用户名文本框中输入自己的域。如果您有多个域，并且希望支持最终用户使用版本低于 5.0 的 Horizon Client，则必须将隐藏域字段设置为是，以便最终用户在键入用户名时可以包含域名。
对于以下所有组合来说，使用命令行启动低于 5.0 的较早客户端并在命令中指定域将会失败。如果您具有多个 Active Directory 域并且希望使用命令行启动客户端，那么唯一变通方法就是将客户端升级到 5.0 版本。

表 5. 在 Horizon Client 版本较低（低于 5.0）且具有多个 Active Directory 域情况下的行为
仅显示默认域（已启用发送 `DefaultDomain`）	隐藏域字段	Horizon Client 5.0 版本之前的登录屏幕详细信息	用户登录方式
是	是	客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。不发送域名。	最终用户必须在用户名文本框中包含域名。 `domain\username`
是	否	客户端的登录屏幕包含标准的用户名和密码字段。域字段显示 `DefaultDomain`。不发送域名。	具有多个 Active Directory 域的环境不支持这种组合。
否	是	客户端的登录屏幕包含标准的用户名和密码字段。不显示域字段。系统会将域名发送到客户端。注：这种组合不太常见。您通常不会使用此组合，因为这会隐藏域字段，即使系统正在发送域名也是如此。	最终用户必须在用户名文本框中包含域名。 `domain\username`
否	否	客户端的登录屏幕包含标准的用户名和密码字段，而且标准下拉式域选择器会显示一个可用的域名。将发送域名。	最终用户可以在用户名文本框中指定其用户名，并可从客户端中显示的列表中选择域。

当租户配置了双因素身份验证时

如果您的租户配置了 RSA SecureID 或 RADIUS 双因素身份验证，则最终用户在尝试向其 Horizon Client 进行身份验证时，首先会看到一个要求提供双因素身份验证凭据的屏幕，然后会看到一个要求提供 Active Directory 域凭据的登录屏幕。如果租户配置了双因素身份验证，仅在最终用户的凭据成功通过初始身份验证屏幕后，系统才会将域列表发送到客户端。无论仅显示默认域如何设置，系统都会发送域列表。

当具有双因素身份验证的租户有多个 Active Directory 域时，要获得最佳最终用户体验，请将隐藏域字段设置为否，并且在域登录屏幕上显示域选择器。该配置允许您的最终用户从第二个登录屏幕的下拉菜单中选择域，因此在初始身份验证屏幕中输入凭据时无需包含域名。

重要事项：当租户的双因素身份验证配置将维护用户名配置为是时，请确保将隐藏域字段设置为否。否则，您的最终用户将无法提供系统所需的域信息，以便与其登录凭据相关联。

有关使用管理控制台查看租户的双因素身份验证设置的信息，请参阅双因素身份验证。

下表介绍了将租户配置为使用双因素身份验证时隐藏域字段设置所产生的行为。

表 6. 当租户配置了双因素身份验证时
域安全性设置	域登录屏幕行为	描述	Horizon Client 版本
隐藏域字段设置为否	在最终用户使用双因素身份验证凭据成功进行身份验证后，域登录屏幕包含用户名和密码字段以及域下拉菜单。	此行为与本版本服务之前的行为相同。在显示了初始双因素身份验证之后，最终用户可以在用户名文本框中指定其用户名，并可从客户端中显示的列表中选择域。	本发行版支持所有版本。
隐藏域字段设置为是	在最终用户使用双因素身份验证凭据成功进行身份验证后，域登录屏幕仅包含用户名和密码字段。	如果租户的双因素身份验证配置将维护用户名配置为是，请避免使用此配置。最终用户的步骤如下：在初始双因素身份验证屏幕中，最终用户必须在用户名文本框中包含域，即 `domain\username`。根据租户的配置，最终用户完成下一个双因素身份验证步骤，如域质询或通行码。在域登录屏幕中，最终用户提供其用户名和密码。	本发行版支持所有版本。