您必须将每个连接服务器主机加入到 Active Directory 域。主机不能是域控制器。

Active Directory 还会管理 Horizon Agent 计算机(包括单用户计算机和 RDS 主机),以及 VMware Horizon 8 部署中的用户和组。您可以授权用户和组访问远程桌面和应用程序,以及在 VMware Horizon 8 中选择作为管理员的用户和组。

您可以将 Horizon Agent 计算机以及用户和组放在以下 Active Directory 域中:

  • 连接服务器域
  • 与连接服务器域之间具有双向信任关系的其他域
  • 与连接服务器域位于不同的林中且与连接服务器域之间存在单向外部或领域信任关系的域
  • 与连接服务器域位于不同的林中且与连接服务器域之间存在单向或双向可传递林信任关系的域
  • 不受信任的域

针对连接服务器域、与其存在信任协议的任何其他用户域以及不受信任的域,使用 Active Directory 对用户进行身份验证。

如果用户和组位于单向信任域中,您必须在 Horizon Console 中为管理员用户提供辅助凭据。管理员必须具有辅助凭据才能访问单向信任域。单向信任域可以是外部域,也可以是具有可传递林信任关系的域。

Horizon Console 会话需要辅助凭据,最终用户的桌面或应用程序会话不需要辅助凭据。仅管理员用户需要使用辅助凭据。

您可以使用 vdmadmin -T 命令提供辅助凭据。

  • 您可以为各个管理员用户配置辅助凭据。
  • 对于林信任关系,您可以为林根域配置辅助凭据。然后,连接服务器可以枚举具有林信任关系的子域。

有关更多信息,请参阅《Horizon 管理指南》文档中的“使用 -T 选项为管理员提供辅助凭据”。

单向受信任的域不支持对用户进行智能卡和 SAML 身份验证。

在对受信任的域中的用户进行身份验证时,单向信任环境中不支持未验证访问。例如,有域 A 和域 B 两个域,其中域 B 具有对域 A 的单向出站信任。如果在域 B 中的连接服务器上启用未验证访问,并从域 A 中的用户列表中添加未验证访问用户,然后授权该未验证用户访问已发布的桌面或应用程序池,则用户无法从 Horizon Client 以未验证访问用户身份登录。

单向信任域中支持适用于 Windows 的 Horizon Client 中的“以当前用户身份登录”功能。

不受信任的域

如果某个域与连接服务器域位于不同的林中且与连接服务器域之间没有任何正式信任关系,则属于不受信任的域关系。对于不受信任的域关系,可以使用主域绑定帐户凭据对用户进行身份验证。仅当主域绑定帐户不可访问时,才能使用辅助域绑定帐户对用户进行身份验证。有关配置不受信任的域的更多信息,请参阅《Horizon 管理指南》文档中的“配置不受信任的域”。

不受信任的域不支持以下功能:
  • 以当前用户身份登录
  • vdmadmin 命令
  • 为不受信任的域添加管理员用户
  • IPv6
  • 识别没有 AD UPN 的 AD 用户