每个连接代理实例都加入到 Active Directory 域，用户可以通过所加入域的 Active Directory 进行身份验证。用户还可以通过与之存在信任协议的其他用户域来进行身份验证。

例如，如果连接代理实例是域 A 的成员，域 A 和域 B 之间存在信任协议，则域 A 和域 B 的用户均可通过 Horizon Client 连接到此连接代理实例。

同样，如果某个混合域环境内的域 A 和 MIT Kerberos 领域之间存在信任协议，则 Kerberos 领域中的用户可以在通过 Horizon Client 连接到此连接代理实例时选择 Kerberos 领域名称。

您可以将用户和组放在以下 Active Directory 域中：

• 连接代理域
• 与连接代理域之间具有双向信任关系的其他域
• 与连接代理域位于不同的林中且与连接代理域之间存在单向外部或领域信任关系的域
• 与连接代理域位于不同的林中且与连接代理域之间存在单向或双向可传递林信任关系的域

连接代理会从主机所在的域开始遍历信任关系，以确定可以访问哪些域。对于一小组连接良好的域，连接代理能够快速确定完整的域列表，但随着域数量的不断增多或域之间连接性的逐渐降低，确定完整域列表所需的时间也会随之增加。另外，该列表还可能包含您不希望在用户登录其远程桌面和应用程序时为其提供的域。

管理员可以使用 vdmadmin 命令行界面来配置域的筛选，从而限制连接代理实例搜索并向用户显示的域。有关更多信息，请参阅《Horizon 8 管理指南》文档。

限时登录和设置密码有效期这样的策略也是通过现有 Active Directory 操作过程来处理的。