ID 제공자를 구성한 후 온-프레미스 Active Directory에서 도메인 바인딩 계정 2개와 도메인 가입 계정 2개를 생성합니다. 나중에 Horizon Universal Console을 사용하여 이러한 계정의 세부 정보를 Horizon Cloud에 제공합니다.

Horizon Cloud에서 서비스 계정으로 사용할 다음 AD 계정의 두 인스턴스를 지정해야 합니다.

  • AD 도메인에서 조회를 수행하는 데 사용되는 도메인 바인딩 계정
  • 컴퓨터 계정을 도메인에 가입하고, 도메인에서 컴퓨터 계정을 제거하고, Sysprep 작업을 수행하는 데 사용되는 도메인 가입 계정
중요:

이러한 서비스 계정에 대해 지정하는 Active Directory 계정에 대해 다음 지침을 준수하십시오.

  • 기본 및 보조 도메인 바인딩 계정이 모두 만료되거나 액세스할 수 없게 되면 Single Sign-On이 작동하지 않으며 새 데스크톱에 가입할 수 없습니다. 기본 또는 보조 도메인 바인딩 계정에 대해 만료되지 않음을 설정하지 않을 경우 두 계정에 대해 만료 시간이 다른지 확인합니다. 만료 시간이 가까워짐에 따라 계속 추적하면서 만료 시간에 도달하기 전에 Horizon Cloud 도메인 바인딩 계정 정보를 업데이트해야 합니다.
  • 기본 및 보조 도메인 가입 계정이 모두 만료되거나 액세스할 수 없게 되면 Single Sign-On이 작동하지 않으며 새 데스크톱에 가입할 수 없습니다. 기본 또는 보조 도메인 가입 계정에 대해 만료되지 않음을 설정하지 않을 경우 두 계정에 대해 만료 시간이 다른지 확인합니다. 만료 시간이 가까워짐에 따라 계속 추적하면서 만료 시간에 도달하기 전에 Horizon Cloud 도메인 가입 계정 정보를 업데이트해야 합니다.

도메인 바인딩 계정 - 필수 Active Directory 사용 권한

도메인 바인딩 계정에는 최종 사용자에게 데스크톱 VM을 할당하는 등 Horizon Cloud에서 제공하는 Desktop-as-a-Service 작업에서 사용할 것으로 예상되는 모든 AD OU(조직 구성 단위)에서 AD 계정을 조회할 수 있는 사용 권한 읽기가 있어야 합니다. 도메인 바인딩 계정은 Active Directory의 개체를 열거할 수 있어야 합니다. 도메인 바인딩 계정에는 Horizon Cloud에서 사용할 것으로 예상되는 모든 OU 및 개체에 대한 다음 사용 권한이 필요합니다.

  • 컨텐츠 나열
  • 모든 속성 읽기
  • 사용 권한 읽기
  • tokenGroupsGlobalAndUniversal 읽기(모든 속성 읽기 권한에 내포)
중요: 일반적으로 도메인 바인딩 계정에는 Microsoft Active Directory 배포에서 인증된 사용자에게 일반적으로 부여되는 즉시 사용 가능한 기본 읽기 액세스 관련 사용 권한이 부여되어야 합니다. 즉시 사용 가능한 Microsoft Active Directory 배포에서 일반적으로 인증된 사용자에게 부여된 기본 설정은 표준 도메인 사용자 계정에 Horizon Cloud가 도메인 바인딩 계정에 대해 필요로 하는 열거를 수행하는 기능을 제공합니다. 그러나 조직의 AD 관리자가 일반 사용자에 대해 읽기 액세스 관련 사용 권한을 잠그도록 선택한 경우에는 해당 AD 관리자가 Horizon Cloud에 사용할 도메인 바인딩 계정에 대해 인증된 사용자 표준 기본값을 보존하도록 요청해야 합니다.

도메인 가입 계정 - 필수 Active Directory 사용 권한

도메인 가입 계정은 테넌트 수준에서 구성됩니다. 시스템은 테넌트 포드 그룹의 모든 포드에 대한 모든 도메인 가입 관련 작업에 대해 Active Directory 등록에 구성된 동일한 도메인 가입 계정을 사용합니다.

시스템은 Active Directory 등록 워크플로(해당 워크플로의 기본 OU 텍스트 상자)에서 지정하는 OU 및 만드는 팜 및 VDI 데스크톱 할당에서 지정하는 OU 내에서 도메인 가입 계정에 대해 명시적 권한 검사를 수행합니다. 단, 해당 팜 및 VDI 데스크톱 할당 컴퓨터 OU 텍스트 상자가 Active Directory 등록의 기본 OU와 다른 경우에 한합니다.

하위 OU를 사용할 수 있는 경우를 고려하기 위해 컴퓨터 OU의 모든 하위 개체에 적용되도록 이러한 필수 사용 권한을 설정하는 것이 좋습니다.

중요:
  • 목록의 일부 AD 사용 권한은 일반적으로 Active Directory에서 계정에 기본적으로 할당합니다. 그러나 Active Directory에서 보안 권한을 제한한 경우 도메인 가입 계정에 Horizon Cloud에서 사용할 예정인 OU 및 개체에 대해 이러한 권한이 있는지 확인해야 합니다.
  • Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에 Deny를 적용하는 Prevent Accidental Deletion 특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한 Deny를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Universal Console에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한 Deny 사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.

컴퓨터 계정 재사용

다음 단계를 사용하여 기존 컴퓨터 계정을 재사용하려면 도메인 가입 사용자 계정에 사용 권한이 부여되어야 합니다.

  • 새 범용 보안 그룹을 생성합니다.
  • 모든 도메인 가입 사용자 계정을 새 보안 그룹에 추가합니다.
  • 모든 관련 GPO(그룹 정책 개체)에 대해 도메인 컨트롤러: 도메인 가입 중에 컴퓨터 계정을 다시 사용하도록 허용을 활성화합니다.
  • 보안 편집...을 클릭합니다.
  • 신뢰할 수 있는 컴퓨터 계정 소유자에 대한 보안 설정 대화상자에서 추가...를 클릭합니다.
  • 새 보안 그룹을 선택하고 확인을 클릭합니다.

모든 도메인에 대해 다음 단계를 수행합니다.