Horizon Cloud에는 서비스 계정으로 사용할 계정 두 개가 AD(Active Directory) 도메인에 있어야 합니다. 이 항목에서는 이러한 두 계정이 충족해야 하는 요구 사항에 대해 설명합니다.
Horizon Cloud에서는 이러한 두 서비스 계정으로 사용할 AD 계정 두 개를 지정해야 합니다.
- AD 도메인에서 조회를 수행하는 데 사용되는 도메인 바인딩 계정
- 컴퓨터 계정을 도메인에 가입하고 Sysprep 작업을 수행하는 데 사용되는 도메인 가입 계정
참고: Microsoft Azure에 있는 포드의 경우 시스템은 Microsoft Azure Marketplace에서 이미지 가져오기, 팜 RDSH 인스턴스 생성, VDI 데스크톱 인스턴스 생성 등을 수행할 때처럼 가상 시스템을 도메인에 가입해야 하는 작업에서 이 도메인 가입 계정을 사용합니다.
이러한 서비스 계정에 대해 지정하는 Active Directory 계정이 Horizon Cloud에서 해당 작업을 위해 필요한 다음과 같은 요구 사항을 충족하는지 확인해야 합니다. 테넌트에 첫 번째 포드를 온보딩한 후 클라우드 기반 관리 콘솔을 사용하여 이러한 계정의 자격 증명을 제공합니다.
- Horizon Cloud Active Directory 도메인 등록 이외의 구성에서는 이러한 서비스 계정을 사용하지 마십시오. 다른 구성에서 이러한 서비스 계정을 재사용하면 예기치 않은 결과가 발생할 수 있습니다. 예를 들어 Workspace ONE Access Connector 구성 설정에서 동일한 도메인 바인딩 계정을 재사용하지 마십시오. 그러지 않으면 도메인 바인딩 계정에 대한 예기치 않은 알림이 Horizon Universal Console에 표시될 수 있습니다.
- 도메인 바인딩 및 도메인 가입 계정이 시스템에서 사용 중이며 사용할 예정인 모든 OU 및 개체에 대해 여기에 설명된 사용 권한을 계속 가지는지 확인해야 합니다. Horizon Cloud는 환경에서 사용하려는 Active Directory 그룹을 미리 채우거나 미리 예측할 수 없습니다. 콘솔을 사용하여 도메인 바인딩 계정 및 도메인 가입 계정으로 Horizon Cloud를 구성해야 합니다.
모든 사용 권한을 별도로 설정하는 대신, 계정에 대해 모든 권한을 설정할 수 있지만 사용 권한을 별도로 설정하는 것이 좋습니다.
도메인 바인딩 계정 - 필수 특성
- 도메인 바인딩 계정은 만료되거나 변경되거나 잠길 수 없습니다. 기본 도메인 바인딩 계정은 Active Directory를 쿼리하기 위한 서비스 계정으로 사용되므로 이 유형의 계정 구성을 사용해야 합니다. 어떤 이유로 기본 도메인 바인딩 계정에 액세스할 수 없게 되면 시스템에서는 보조 도메인 바인딩 계정을 사용합니다. 기본 및 보조 도메인 바인딩 계정이 만료되거나 액세스할 수 없는 경우 클라우드 기반 콘솔에 로그인하여 구성을 업데이트할 수 없습니다.
중요: 기본 및 보조 도메인 바인딩 계정이 둘 다 만료되거나 액세스할 수 없는 경우 콘솔에 로그인하여 작동 중인 도메인 바인딩 계정 정보로 구성을 업데이트할 수 없습니다. 기본 또는 보조 도메인 바인딩 계정에 대해 만료되지 않음을 설정하지 않을 경우 두 계정에 대해 서로 다른 만료 시간을 지정해야 합니다. 만료 시간이 가까워짐에 따라 계속 추적하면서 만료 시간에 도달하기 전에 Horizon Cloud 도메인 바인딩 계정 정보를 업데이트해야 합니다.
- 도메인 바인딩 계정에는 sAMAccountName 특성이 필요합니다. sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.
- 도메인 바인딩 계정에는 항상 콘솔에서 관리 작업을 수행할 수 있는 모든 사용 권한을 부여하는 슈퍼 관리자 역할이 할당됩니다. 슈퍼 관리자 권한을 부여하지 않으려는 사용자가 도메인 바인딩 계정에 액세스할 수 없는지 확인해야 합니다. 콘솔에서 사용하는 역할에 대한 자세한 내용은 Horizon Universal Console을 사용하여 Horizon Cloud 환경에서 작업할 수 있도록 사용자에게 제공하는 두 가지 역할에 대한 모범 사례의 내용을 참조하십시오.
도메인 바인딩 계정 - 필수 Active Directory 사용 권한
도메인 바인딩 계정에는 최종 사용자에게 데스크톱 VM을 할당하는 등 Horizon Cloud에서 제공하는 Desktop-as-a-Service 작업에서 사용할 것으로 예상되는 모든 AD OU(조직 구성 단위)에서 AD 계정을 조회할 수 있는 사용 권한 읽기가 있어야 합니다. 도메인 바인딩 계정은 Active Directory의 개체를 열거할 수 있어야 합니다. 도메인 바인딩 계정에는 Horizon Cloud에서 사용할 것으로 예상되는 모든 OU 및 개체에 대한 다음 사용 권한이 필요합니다.
- 컨텐츠 나열
- 모든 속성 읽기
- 사용 권한 읽기
- tokenGroupsGlobalAndUniversal 읽기(모든 속성 읽기 권한에 내포)
도메인 가입 계정 - 필수 특성
- 도메인 가입 계정은 변경되거나 잠길 수 없습니다.
- 계정의 사용자 이름에는 공백을 포함할 수 없습니다. 이름에 공백이 포함되어 있으면 해당 계정을 사용하는 시스템 작업에서 예기치 않은 결과가 발생합니다.
- 도메인 가입 계정에는 sAMAccountName 특성이 필요합니다. sAMAccountName 특성은 20자 이하여야 하며 "/ \ [ ] : ; | = , + * ? < > 문자를 포함할 수 없습니다.
- 다음 조건 중 하나 이상이 충족되어야 합니다.
- Active Directory에서 도메인 가입 계정을 만료되지 않음으로 설정합니다.
- 또는 첫 번째 도메인 가입 계정과 다른 만료 시간을 갖는 보조 도메인 가입 계정을 구성합니다. 이 방법을 선택하는 경우에 보조 도메인 가입 계정이 콘솔에서 구성한 기본 도메인 가입 계정과 동일한 요구 사항을 충족하는지 확인합니다.
경고: 도메인 가입 계정이 만료되고 작동하는 보조 도메인 가입 계정이 구성되지 않은 경우 이미지 봉인과 팜 RDSH VM 및 VDI 데스크톱 VM 프로비저닝을 위한 Horizon Cloud 작업이 실패합니다.
도메인 가입 계정 - 필수 Active Directory 사용 권한
도메인 가입 계정은 테넌트 수준에서 구성됩니다. 시스템은 테넌트 포드 그룹의 모든 포드에 대한 모든 도메인 가입 관련 작업에 대해 Active Directory 등록에 구성된 동일한 도메인 가입 계정을 사용합니다.
시스템은 Active Directory 등록 워크플로(해당 워크플로의 기본 OU 텍스트 상자)에서 지정하는 OU 및 만드는 팜 및 VDI 데스크톱 할당에서 지정하는 OU 내에서 도메인 가입 계정에 대해 명시적 권한 검사를 수행합니다. 단, 해당 팜 및 VDI 데스크톱 할당 컴퓨터 OU 텍스트 상자가 Active Directory 등록의 기본 OU와 다른 경우에 한합니다.
하위 OU를 사용할 수 있는 경우를 고려하기 위해 컴퓨터 OU의 모든 하위 개체에 적용되도록 이러한 필수 사용 권한을 설정하는 것이 좋습니다.
- 목록의 일부 AD 사용 권한은 일반적으로 Active Directory에서 계정에 기본적으로 할당합니다. 그러나 Active Directory에서 보안 권한을 제한한 경우 도메인 가입 계정에 Horizon Cloud에서 사용할 예정인 OU 및 개체에 대해 이러한 권한이 있는지 확인해야 합니다.
- Microsoft Active Directory에서 새 OU를 생성할 때 시스템은 새로 생성된 OU 및 모든 하위 개체에 대한 모든 하위 개체 삭제 사용 권한에
Deny
를 적용하는Prevent Accidental Deletion
특성을 자동으로 설정할 수 있습니다. 따라서 도메인 가입 계정에 컴퓨터 개체 삭제 사용 권한을 명시적으로 할당한 경우, 새로 생성된 OU에서 Active Directory가 명시적으로 할당된 컴퓨터 개체 삭제 사용 권한에 재정의를 적용했을 수 있습니다. 실수로 인한 삭제 방지 플래그를 지우면 Active Directory가 모든 하위 개체 삭제 사용 권한에 적용한Deny
를 자동으로 지우지 않을 수 있으므로 새로 추가된 OU의 경우에는 Horizon Cloud 콘솔에서 도메인 가입 계정을 사용하기 전에 OU 및 모든 하위 OU에서 모든 하위 개체 삭제를 위한Deny
사용 권한 집합을 확인하고 수동으로 지워야 할 수 있습니다.
액세스 | 적용 대상 |
---|---|
모든 속성 읽기 | 이 개체만 |
컴퓨터 개체 생성 | 이 개체 및 모든 하위 개체 |
컴퓨터 개체 삭제 | 이 개체 및 모든 하위 개체 |
모든 속성 쓰기 | 하위 컴퓨터 개체 |
암호 재설정 | 하위 컴퓨터 개체 |
액세스 | 적용 대상 |
---|---|
컨텐츠 나열 | 이 개체 및 모든 하위 개체 |
모든 속성 읽기 | 이 개체 및 모든 하위 개체 |
컴퓨터 개체 생성 | 이 개체 및 모든 하위 개체 |
컴퓨터 개체 삭제 | 이 개체 및 모든 하위 개체 |
모든 속성 쓰기 | 모든 하위 개체 |
사용 권한 읽기 | 이 개체 및 모든 하위 개체 |
암호 재설정 | 하위 컴퓨터 개체 |