Horizon Cloud에는 서비스 계정으로 사용할 계정 두 개가 AD(Active Directory) 도메인에 있어야 합니다. 이 항목에서는 이러한 두 계정이 충족해야 하는 요구 사항에 대해 설명합니다.

Horizon Cloud에서는 이러한 두 서비스 계정으로 사용할 AD 계정 두 개를 지정해야 합니다.

  • AD 도메인에서 조회를 수행하는 데 사용되는 도메인 바인딩 계정
  • 컴퓨터 계정을 도메인에 가입하고 Sysprep 작업을 수행하는 데 사용되는 도메인 가입 계정
    참고: Microsoft Azure에 있는 포드의 경우 시스템은 Microsoft Azure Marketplace에서 이미지 가져오기, 팜 RDSH 인스턴스 생성, VDI 데스크톱 인스턴스 생성 등을 수행할 때처럼 가상 시스템을 도메인에 가입해야 하는 작업에서 이 도메인 가입 계정을 사용합니다.

클라우드 기반 관리 콘솔을 사용하여 Horizon Cloud에 이러한 계정에 대한 자격 증명을 제공합니다.

이러한 서비스 계정에 대해 지정하는 Active Directory 계정이 Horizon Cloud에서 해당 작업을 위해 필요한 다음과 같은 요구 사항을 충족하는지 확인해야 합니다.

중요: 도메인 바인딩 및 도메인 가입 계정이 시스템에서 사용 중이며 사용할 예정인 모든 OU 및 개체에 대해 여기에 설명된 사용 권한을 계속 가지는지 확인해야 합니다. Horizon Cloud는 환경에서 사용하려는 Active Directory 그룹을 미리 채우거나 미리 예측할 수 없습니다. 콘솔을 사용하여 도메인 바인딩 계정 및 도메인 가입 계정으로 Horizon Cloud를 구성해야 합니다.

도메인 바인딩 계정 요구 사항

  • 도메인 바인딩 계정은 만료되거나 변경되거나 잠길 수 없습니다. 기본 도메인 바인딩 계정은 Active Directory를 쿼리하기 위한 서비스 계정으로 사용되므로 이 유형의 계정 구성을 사용해야 합니다. 어떤 이유로 기본 도메인 바인딩 계정에 액세스할 수 없게 되면 시스템에서는 보조 도메인 바인딩 계정을 사용합니다. 기본 및 보조 도메인 바인딩 계정이 만료되거나 액세스할 수 없는 경우 클라우드 기반 콘솔에 로그인하여 구성을 업데이트할 수 없습니다.
    중요: 기본 및 보조 도메인 바인딩 계정이 둘 다 만료되거나 액세스할 수 없는 경우 콘솔에 로그인하여 작동 중인 도메인 바인딩 계정 정보로 구성을 업데이트할 수 없습니다. 기본 또는 보조 도메인 바인딩 계정에 대해 만료되지 않음을 설정하지 않을 경우 두 계정에 대해 서로 다른 만료 시간을 지정해야 합니다. 만료 시간이 가까워짐에 따라 계속 추적하면서 만료 시간에 도달하기 전에 Horizon Cloud 도메인 바인딩 계정 정보를 업데이트해야 합니다.
  • 도메인 바인딩 계정에는 sAMAccountName 특성이 필요합니다. sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.
  • 도메인 바인딩 계정에는 최종 사용자에게 데스크톱 VM을 할당하는 등 Horizon Cloud에서 제공하는 Desktop-as-a-Service 작업에서 사용할 것으로 예상되는 모든 AD OU(조직 구성 단위)에서 AD 계정을 조회할 수 있는 사용 권한 읽기가 있어야 합니다. 도메인 바인딩 계정은 Active Directory의 개체를 열거할 수 있어야 합니다. 도메인 바인딩 계정에는 Horizon Cloud에서 사용할 것으로 예상되는 모든 OU 및 개체에 대한 다음 사용 권한이 필요합니다.
    • 컨텐츠 나열
    • 모든 속성 읽기
    • 사용 권한 읽기
    • tokenGroupsGlobalAndUniversal 읽기(모든 속성 읽기 권한에 내포)
    중요: 일반적으로 도메인 바인딩 계정에는 Microsoft Active Directory 배포에서 인증된 사용자에게 일반적으로 부여되는 즉시 사용 가능한 기본 읽기 액세스 관련 사용 권한이 부여되어야 합니다. 즉시 사용 가능한 Microsoft Active Directory 배포에서 일반적으로 인증된 사용자에게 부여된 기본 설정은 표준 도메인 사용자 계정에 Horizon Cloud가 도메인 바인딩 계정에 대해 필요로 하는 열거를 수행하는 기능을 제공합니다. 그러나 조직의 AD 관리자가 일반 사용자에 대해 읽기 액세스 관련 사용 권한을 잠그도록 선택한 경우에는 해당 AD 관리자가 Horizon Cloud에 사용할 도메인 바인딩 계정에 대해 인증된 사용자 표준 기본값을 보존하도록 요청해야 합니다.
  • 도메인 바인딩 계정에는 항상 콘솔에서 관리 작업을 수행할 수 있는 모든 사용 권한을 부여하는 슈퍼 관리자 역할이 할당됩니다. 슈퍼 관리자 권한을 부여하지 않으려는 사용자가 도메인 바인딩 계정에 액세스할 수 없는지 확인해야 합니다.

도메인 가입 계정 요구 사항

  • 도메인 가입 계정은 변경되거나 잠길 수 없습니다.
  • 다음 조건 중 하나 이상이 충족되어야 합니다.
    • Active Directory에서 도메인 가입 계정을 만료되지 않음으로 설정합니다.
    • 또는 첫 번째 도메인 가입 계정과 다른 만료 시간을 갖는 보조 도메인 가입 계정을 구성합니다. 이 방법을 선택하는 경우에 보조 도메인 가입 계정이 콘솔에서 구성한 기본 도메인 가입 계정과 동일한 요구 사항을 충족하는지 확인합니다.
    경고: 도메인 가입 계정이 만료되고 작동하는 보조 도메인 가입 계정이 구성되지 않은 경우 이미지 봉인과 팜 RDSH VM 및 VDI 데스크톱 프로비저닝을 위한 Horizon Cloud 작업이 실패합니다.
  • 도메인 가입 계정에는 sAMAccountName 특성이 필요합니다. sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.
  • 도메인 가입 계정에는 다음 목록의 AD 사용 권한이 필요합니다.
    중요:
    • 목록의 일부 AD 사용 권한은 일반적으로 Active Directory에서 계정에 기본적으로 할당합니다. 그러나 Active Directory에서 보안 권한을 제한한 경우 도메인 가입 계정에 Horizon Cloud에서 사용할 예정인 OU 및 개체에 대해 이러한 권한이 있는지 확인해야 합니다.
    • Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에 Deny를 적용하는 Prevent Accidental Deletion 특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한 Deny를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Cloud 콘솔에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한 Deny 사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.

    시스템은 Active Directory 등록 워크플로(해당 워크플로의 기본 OU 텍스트 상자)에서 지정하는 OU 및 만드는 팜 및 VDI 데스크톱 할당에서 지정하는 OU 내에서 도메인 가입 계정에 대해 명시적 권한 검사를 수행합니다. 단, 해당 팜 및 VDI 데스크톱 할당 컴퓨터 OU 텍스트 상자가 Active Directory 등록의 기본 OU와 다른 경우에 한합니다.

    하위 OU를 사용할 수 있는 경우를 고려하기 위해 컴퓨터 OU의 모든 하위 개체에 적용되도록 이러한 권한을 설정하는 것이 좋습니다. 도메인 가입 계정에 필요한 AD 사용 권한이 아래 표에 나와 있습니다.

    액세스 적용 대상
    컨텐츠 나열 이 개체 및 모든 하위 개체
    모든 속성 읽기 이 개체 및 모든 하위 개체
    모든 속성 쓰기 모든 하위 개체
    사용 권한 읽기 이 개체 및 모든 하위 개체
    암호 재설정 하위 컴퓨터 개체
    컴퓨터 개체 생성 이 개체 및 모든 하위 개체
    컴퓨터 개체 삭제 이 개체 및 모든 하위 개체
경고:

모든 사용 권한을 별도로 설정하는 대신, 모든 권한을 설정할 수 있지만 사용 권한을 별도로 설정하는 것이 좋습니다.