通过使用身份防火墙功能，NSX 管理员可以创建基于 Active Directory 用户的 DFW 规则。

IDFW 配置工作流简要概述首先介绍了基础架构准备。这包括管理员在每个保护的群集上安装主机准备组件和设置 Active Directory 同步，以便 NSX 可以使用 AD 用户和组。接下来，IDFW 必须知道 Active Directory (AD) 用户登录到的桌面才能应用 DFW 规则。IDFW 使用两种方法进行登录检测：Guest Introspection (GI) 和/或 Active Directory 事件日志采集器。Guest Introspection 部署在运行 IDFW 虚拟机的 ESXi 群集上。在用户生成网络事件时，在虚拟机上安装的客户机代理将信息通过 Guest Introspection 框架转发到 NSX Manager。第二种方法是使用 Active Directory 事件日志采集器。请在 NSX Manager 中配置 Active Directory 事件日志采集器以指向一个 Active Directory 域控制器实例。然后，NSX Manager 从 AD 安全事件日志中提取事件。您可以在环境中同时使用这两种方法，或者使用其中的一种方法。如果同时使用 AD 日志采集器和 Guest Introspection，将优先使用 Guest Introspection。请注意，如果同时使用 AD 事件日志采集器和 Guest Introspection，它们是相互排斥的：如果其中的一个组件停止工作，另一个组件不会作为备用组件开始工作。

在准备基础架构后，管理员创建 NSX 安全组并添加新的可用 AD 组（称为目录组）。然后，管理员可以创建具有关联的防火墙规则的安全策略，并将这些策略应用于新创建的安全组。现在，在用户登录到桌面时，系统将检测该事件以及使用的 IP 地址，查找与该用户关联的防火墙策略，然后向下推送这些规则。这适用于物理桌面和虚拟桌面。对于物理桌面，还需要使用 AD 事件日志采集器来检测用户是否登录到物理桌面。

身份防火墙可用于通过远程桌面会话 (RDSH) 进行的微分段，从而允许多个用户同时登录，根据要求访问用户应用程序并且能够保持独立的用户环境。具有远程桌面会话的身份防火墙需要 Active Directory。

有关支持的 Windows 操作系统，请参见身份防火墙已测试并支持的配置。请注意，身份防火墙不支持基于 Linux 的操作系统。