Horizon Cloud 要求您将 Active Directory (AD) 域中的两个帐户用作服务帐户。本主题介绍了这两个帐户所必须满足的要求。
Horizon Cloud 要求您指定两个 AD 帐户,并将其用作两个服务帐户。
- 域绑定用户,用于在 AD 域中执行查询。
- 域加入帐户,用于将计算机帐户加入域并执行 Sysprep 操作。
您可以使用基于云的管理控制台将这些帐户的凭据提供给 Horizon Cloud。
您必须确保为这些服务帐户指定的 Active Directory 帐户满足 Horizon Cloud 执行其操作时所需满足的以下要求。
重要事项: 您还必须确保域绑定帐户和域加入帐户继续具有对您在系统中使用和预计使用的所有 OU 和对象的权限(如此处所述)。
Horizon Cloud 无法预填充或提前预测您可能想要在环境中使用的 Active Directory 组。您必须使用控制台为
Horizon Cloud 配置域绑定帐户和域加入帐户。
域绑定帐户要求
- 域绑定帐户不能过期、更改或被锁定。由于系统使用主域绑定帐户作为服务帐户来查询 Active Directory,因此,您必须使用此类型的帐户配置。如果主域绑定帐户由于某种原因而变得不可访问,则系统会使用辅助域绑定帐户。如果主域绑定帐户和辅助域绑定帐户同时过期或变得不可访问,您将无法登录到基于云的控制台并更新配置。
重要事项: 如果主域绑定帐户和辅助域绑定帐户都过期或不可访问,您将无法使用当前有效的域绑定帐户信息登录到控制台并更新配置。如果未将主域绑定帐户或辅助域绑定帐户设为 永不过期,则应为它们设置不同的过期时间。您必须跟踪过期时间,并在到达过期时间之前更新 Horizon Cloud 域绑定帐户信息。
- 域绑定帐户需要使用 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >
- 域绑定帐户必须具有读取权限,以便能够在 Horizon Cloud 提供的“桌面即服务”操作(例如向最终用户分配桌面虚拟机的操作)中,查找预计会使用的所有 AD 组织单位 (OU) 的 AD 帐户。域绑定帐户需要能够枚举 Active Directory 中的对象。域绑定帐户需要具有对预计在 Horizon Cloud 中使用的所有 OU 和对象的以下权限:
- 列出内容
- 读取全部属性
- 读取权限
- 读取 tokenGroupsGlobalAndUniversal(“读取全部属性”权限隐含的权限)
重要事项: 一般来说,应为域绑定帐户授予即时可用的读取访问相关权限,该权限通常在 Microsoft Active Directory 部署中授予 已通过身份验证的用户。在即时可用的 Microsoft Active Directory 部署中,通常向 已通过身份验证的用户授予的这些默认设置会为标准域用户帐户提供执行所需枚举的能力, Horizon Cloud 需要将该枚举用于域绑定帐户。但是,如果您组织的 AD 管理员已选择锁定常规用户的读取访问相关权限,则您必须请求这些 AD 管理员为将用于 Horizon Cloud 的域绑定帐户保留 已通过身份验证的用户标准默认值。 - 域绑定帐户始终分配有超级管理员角色,该角色授予在控制台中执行管理操作所需的所有权限。对于不希望其具有超级管理员权限的那些用户,您应确保他们无法获得域绑定帐户。
域加入帐户要求
- 域加入帐户不能更改或被锁定。
- 确保您至少满足以下条件之一:
- 在 Active Directory 中,将域加入帐户设置为永不过期。
- 或者,配置一个辅助域加入帐户,并为其设置与第一个域加入帐户不同的过期时间。如果选择此方法,请确保辅助域加入帐户满足与在控制台中配置的主域加入帐户相同的要求。
小心: 如果域加入帐户过期,并且未配置正常工作的辅助域加入帐户,用于封装映像和置备场 RDSH 虚拟机和 VDI 桌面虚拟机的 Horizon Cloud 操作将会失败。 - 域加入帐户需要使用 sAMAccountName 属性。sAMAccountName 属性必须至多包含 20 个字符,并且不能包含以下任意字符:"/ \ [ ] : ; | = , + * ? < >
- 域加入帐户的用户名不能包含任何空格。
- 域加入帐户需要具有下表中列出的 AD 权限。
重要事项:
- 通常,Active Directory 默认会将列表中的某些 AD 权限中分配给帐户。但是,如果您限制了 Active Directory 中的安全权限,则必须确保域加入帐户对预计在 Horizon Cloud 中使用的 OU 和对象具有这些权限。
- 在 Microsoft Active Directory 中,当您创建新的 OU 时,系统可能会自动设置
Prevent Accidental Deletion
属性,该属性会将Deny
应用于新创建的 OU 和所有后代对象的“删除所有子对象”权限。因此,如果您为域加入帐户明确分配了“删除计算机对象”权限,对于新创建的 OU,Active Directory 可能已对该明确分配的“删除计算机对象”权限应用替代项。由于清除防止意外删除标记可能不会自动清除 Active Directory 应用于“删除所有子对象”权限的Deny
,因此,对于新添加的 OU,您可能必须验证并手动清除为 OU 和所有子 OU 中的“删除所有子对象”设置的Deny
权限,然后才能在 Horizon Cloud 控制台中使用域加入帐户。
对于您在 Active Directory 注册工作流中指定的 OU(在该工作流的默认 OU 文本框中指定)以及在所创建的场和 VDI 桌面分配中指定的 OU,如果这些场和 VDI 桌面分配的计算机 OU 文本框不同于 Active Directory 注册中的默认 OU,则系统会对该 OU 中的域加入帐户执行明确的权限检查。
考虑到您可能会使用子 OU 的情况,最佳做法是将这些权限设置为应用于计算机 OU 的所有后代对象。在下表中显示了域加入帐户所需的 AD 权限。
访问 适用对象 列出内容 该对象和所有后代对象 读取全部属性 该对象和所有后代对象 写入全部属性 所有后代对象 读取权限 该对象和所有后代对象 重置密码 后代计算机对象 创建计算机对象 该对象和所有后代对象 删除计算机对象 该对象和所有后代对象
小心:
尽管您可以设置“完全控制”,而不必单独设置所有权限,但仍建议您单独设置权限。
小心: 如果要使用即时克隆映像,则域加入帐户还需满足其他要求。除了在注册 Active Directory 域时在控制台中指定的 OU 之外,域加入帐户还必须对相应的 OU 或子 OU 具有以下所列权限,以在其中放置通过即时克隆映像构建的桌面。
- 列出内容
- 读取全部属性
- 写入全部属性
- 读取权限
- 重置密码
- 创建计算机对象
- 删除计算机对象