Ab Pod-Manifestversion 1230 und höher für Pods in Microsoft Azure können Domänenkonten eine direkte Verbindung mit virtuellen Image-Maschinen herstellen, auf denen die Agent-Software installiert ist. Vor Pod-Manifest 1230 verhindert die Agent-Software, die in einer mit einer Domäne verbundenen VM installiert ist, dass Domänenkonten direkt mit dieser VM verbunden werden können. Ab Pod-Manifest 1230 können Sie ein Domänenkonto verwenden, um sich anzumelden und das Master-Image anzupassen. Wenn Ihr Pod jedoch ein Manifest vor 1230 aufweist, können Sie diese Schritte verwenden, um Domänenkonten für die Herstellung von Remoteverbindungen mit dem importierten Image zu konfigurieren.

Damit Sie das Master-Image für Ihre Organisation anpassen können, müssen Sie in der Lage sein, eine Remoteverbindung zu diesem Image in Microsoft Azure herzustellen und sich bei der virtuellen Maschine des Images anzumelden. Wenn das Master-Image einer Active Directory-Domäne angehört und Ihre Organisation eine Richtlinie besitzt, die die Verwendung von lokalen Administratorkonten für einer Domäne angehörende VMs verhindert, können Sie sich beim Master-Image erst anmelden, nachdem Sie für die Domänenkonten, mit denen Sie das Image anpassen möchten, die lokale Gruppe „DaaS Direct Connect-Benutzer“ konfiguriert haben.

Eine Verbindung zu den Master-Image-VMs in Microsoft Azure stellen Sie mit Ihrer Remotedesktopprotokoll(RDP)-Software her. Zum Erstellen der Master-Image-VM werden folgende Schritte ausgeführt:

  • Die VM gehört immer der Domäne an, wenn sie entweder mit dem Assistenten zum Importieren virtueller Maschinen vor der Dienstversion von September 2019 erstellt wurde oder Sie sie manuell erstellt und explizit der Domäne hinzugefügt haben bzw. Sie sie mit dem Assistenten zum Importieren virtueller Maschinen nach der Dienstversion von Dezember 2019 erstellt und die Assistentenoption ausgewählt haben, mit der sie der Domäne hinzugefügt wird. Vor der Dienstversion von Dezember 2019 hat der Assistent zum Importieren virtueller Maschinen die VM immer automatisch zur Domäne hinzugefügt.
  • Die Horizon Agent-Software wird unter dem Microsoft Windows-Betriebssystem der VM installiert.

Standardmäßig verhindert die Agent-Software, dass für eine RDP-Verbindung zum Microsoft Windows-Gastbetriebssystem der VM ein anderes Konto als das lokale Administratorkonto verwendet wird, mit dem die Agent-Software installiert wurde. Wenn Sie z. B. versuchen, eine RDP-Verbindung zur Master-VM über ein Domänenadministratorkonto herzustellen, das Mitglied der lokalen Administratorgruppe ist, wird beim Starten der Microsoft Windows-Sitzung auch dann eine Meldung angezeigt, wenn zuerst die Verbindung hergestellt wurde. Diese Meldung besagt, dass eine direkte Verbindung mit Ihrem virtuellen Desktop nicht erlaubt ist.


Meldung des DaaS Agent, dass eine direkte Verbindung mit dem virtuellen Desktop nicht erlaubt ist

Manche Unternehmen besitzen jedoch Richtlinien, die die Verwendung des lokalen Administratorkontos für einer Domäne angehörende VMs verhindern. Damit Domänenkonten in die Lage versetzt werden, eine RDP-Verbindung herzustellen und eine Anmeldung für die Anpassung der Master-VM durchzuführen, wird beim Installieren der Agent-Software auch eine lokale Gruppe mit dem Namen „DaaS Direct Connect-Benutzer“ erstellt. Diese Gruppe verfügt nicht über lokale Administratorrechte. Der Agent erlaubt Domänenkonten dieser Gruppe die Verbindung mit einem Desktop über eine direkte RDP-Verbindung. Die Gruppe „DaaS Direct Connect-Benutzer“ ist beim Erstellen leer. Damit Domänenkonten, die zum Anpassen des Images verwendet werden sollen, die RDP-Funktion nutzen können, müssen Sie diese Domänenbenutzer zur lokalen Gruppe „DaaS Direct Connect-Benutzer“ hinzufügen.

Der folgende Screenshot zeigt die Gruppe „DaaS Direct Connect-Benutzer“ im Fenster „Lokale Benutzer und Gruppen“ eines mit dem Assistenten „Image importieren“ erstellten Master-Images.

Screenshot des Fensters „Lokale Benutzer und Gruppen“ mit der Gruppe „DaaS Direct Connect-Benutzer“

Wenn Sie keine direkte Verbindung zur VM über das lokale Administratorkonto herstellen können, verwenden Sie in Ihrer Active Directory-Umgebung eine GPO-Richtlinie (Group Policy Object), um Domänenkonten zur Gruppe „DaaS Direct Connect-Benutzer“ hinzuzufügen. Die folgenden Schritte beschreiben, wie Sie mit den eingeschränkten Gruppen der GPO-Richtlinie Mitglieder zur Gruppe „DaaS Direct Connect-Benutzer“ der VM hinzufügen, die der Domäne angehört.

  1. Erstellen Sie in Ihrer Active Directory-Umgebung ein neues GPO.
  2. Klicken Sie mit der rechten Maustaste auf das GPO und wählen Sie Bearbeiten.
  3. Wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Eingeschränkte Gruppen.
  4. Klicken Sie mit der rechten Maustaste auf Eingeschränkte Gruppen und wählen Sie Gruppe hinzufügen.
  5. Geben Sie im Dialogfeld „Gruppe hinzufügen“ „DaaS Direct Connect-Benutzer“ ein und klicken Sie auf OK.
  6. Fügen Sie im Dialogfeld „Eigenschaften“ im Bereich Mitglieder dieser Gruppe mit der Schaltfläche Hinzufügen die Domänenkonten hinzu, die eine Verbindung mit der Master-VM herstellen sollen.
  7. Nachdem Sie alle Konten zum Bereich Mitglieder dieser Gruppe hinzugefügt haben, klicken Sie auf OK, um das Dialogfeld „Eigenschaften“ zu schließen.
  8. Schließen Sie den Verwaltungseditor für Gruppenrichtlinien sowie die Verwaltungskonsole für Gruppenrichtlinien.
  9. Verknüpfen Sie das neu erstellte GPO mit der Domäne, die für die Master-VM verwendet wird.

Nachdem das neue GPO mit der Domäne verknüpft ist, können Sie eines dieser angegebenen Domänenkonten verwenden, um eine RDP-Verbindung zur Master-VM herzustellen und diese anzupassen. Befolgen Sie die Schritte wie unter Anpassen des Windows-Betriebssystems der importierten Image-VM und den Unterthemen beschrieben.