对于适用于 Windows 的 Horizon Client,当用户在选项菜单中选中以当前用户身份登录复选框时,将使用他们在登录到客户端系统时提供的凭据在连接代理实例和远程桌面中通过 Kerberos 进行身份验证。无需进行其他用户身份验证。
如果您在客户端系统上注册了具有证书信任的 Windows Hello for Business,则使用 Windows Hello for Business 颁发的用户登录证书通过单点登录来登录到 Horizon Agent 系统。有关更多信息,请参阅《Horizon 8 管理指南》文档中的“使用 Windows Hello for Business 进行身份验证”。
为支持此功能,用户凭据将会存储在连接代理实例和客户端系统中。
- 在连接代理实例中,用户凭据经过加密并与用户名、域和可选 UPN 一同存储在用户会话中。这些凭据会在进行身份验证时添加,并在会话对象被破坏时清除。用户注销、会话超时或身份验证失败时,会话对象都会被破坏。会话对象位于易失性内存中,而不是存储在 Horizon LDAP 或磁盘文件中。
- 在连接代理实例上,启用接受以当前用户身份登录设置,以允许连接代理实例接受用户在 Horizon Client 的选项菜单中选择以当前用户身份登录时传递的用户身份和凭据信息。
重要说明: 在启用该设置之前,您必须了解安全风险。请参阅 《Horizon 安全指南》文档中的“用户身份验证的安全相关服务器设置”。
- 在客户端系统中,用户凭据经过加密存储在身份验证包(Horizon Client 的一个组件)内的一个表中。用户登录时这些凭据会被添加到表中,用户注销时则会从表中移除。该表位于易失性内存中。
选择 接受以当前用户身份登录后,您可以启用以下用户设置:
- “允许旧版客户端”:支持旧版客户端。Horizon Client 版本 2006 和 5.4 及更低版本被视为旧版客户端。
- “允许 NTLM 回退”:在无法访问域控制器时,将使用 NTLM 身份验证来代替 Kerberos。必须在 Horizon Client 配置中启用 NTLM 组策略设置。
- “禁用通道绑定”:用于保护 NTLM 身份验证的额外安全层。默认情况下,将在客户端上启用通道绑定。
注: 如果启用了通道绑定,请使用 LMCompatibilityLevel 开关确认已打开 NTLMv2,并确认用户环境中的安全级别为 3 或更高。有关更多信息,请参阅 此处的 Microsoft 文档。
- “True SSO 集成”:在连接代理上启用此设置,将允许使用 True SSO 实现桌面 SSO。例如,在嵌套模式下,使用 True SSO 登录到嵌套的客户端,然后执行辅助桌面登录。有关嵌套模式的信息,请参阅《适用于 Windows 的 Horizon Client 指南》。
- “已禁用”:如果客户端未收到登录凭据,则用户必须输入登录信息。
- “可选”:如果客户端凭据可用,将使用客户端凭据,否则将使用 True SSO。如果启用了 True SSO 和“以当前用户身份登录”,则建议使用此设置。
- “已启用”:将使用 True SSO 登录到桌面。
管理员可以使用 Horizon Client 组策略设置控制选项菜单中的以当前用户身份登录设置的可用性并指定其默认值。管理员还可以使用组策略指定,哪些连接代理实例接受用户在 Horizon Client 中选择以当前用户身份登录时传递的用户身份和凭据信息。
用户使用“以当前用户身份登录”功能登录到连接代理后,将启用递归解锁功能。在解锁客户端计算机后,递归解锁功能解锁所有远程会话。管理员可以在
Horizon Client 中使用
解锁客户端计算机后解锁远程会话全局策略设置来控制递归解锁功能。有关
Horizon Client 的全局策略设置的更多信息,请参阅
VMware Horizon Client 文档网页上的
Horizon Client 文档。
注: 如果
Horizon Client 无法访问域控制器,则在将“以当前用户身份登录”与 NTLM 身份验证结合使用时,递归解锁功能可能会变慢。要缓解此问题,请在组策略管理编辑器的
文件夹中启用组策略设置
始终对服务器使用 NTLM。
“以当前用户身份登录”功能具有以下限制和要求:
- 如果在连接代理实例上将智能卡身份验证设置为“必需”,则在连接到连接代理实例时,选择以当前用户身份登录的用户的身份验证将会失败。这些用户登录到连接代理时必须用智能卡和 PIN 码重新进行身份验证。
- 客户端登录的系统上的时间必须与连接代理主机上的时间同步。
- 如果在客户端系统上修改默认的通过网络访问此计算机用户权限分配,必须按照 VMware 知识库 (KB) 文章 1025691 中所述进行修改。