Microsoft Azure 포드에 대해 포드 매니페스트 버전 1230 이상을 사용하는 경우 도메인 계정이 에이전트 소프트웨어가 설치된 이미지 가상 시스템에 직접 연결할 수 있습니다. 포드 매니페스트 1230 이전에는 도메인 가입 VM에 설치된 에이전트 소프트웨어 때문에 도메인 계정이 해당 VM에 직접 연결될 수 없습니다. 포드 매니페스트 1230부터, 도메인 계정을 사용하여 로그인하고 마스터 이미지를 사용자에 맞게 수정할 수 있습니다. 하지만, 포드가 1230 이전의 매니페스트에 있는 경우 이러한 단계를 사용하여 도메인 계정이 가져온 이미지에 원격으로 연결하도록 구성할 수 있습니다.

조직의 요구에 맞게 마스터 이미지를 사용자 지정할 수 있도록 하려면 Microsoft Azure에 있는 해당 이미지의 가상 시스템에 원격으로 연결하고 로그인할 수 있어야 합니다. 마스터 이미지가 Active Directory 도메인에 가입되어 있고 조직에 도메인에 가입된 VM에서 로컬 관리자 계정을 사용할 수 없도록 하는 정책이 있는 경우, 이미지 사용자 지정에 사용하려는 해당 도메인 계정으로 DaaS Direct Connect 사용자 로컬 그룹을 구성해야만, 마스터 이미지에 로그인할 수 있게 됩니다.

RDP(원격 데스크톱 프로토콜) 소프트웨어를 사용하여 Microsoft Azure의 마스터 이미지 VM에 연결합니다. 마스터 이미지 VM을 생성하는 전체 프로세스의 일부로, 다음 항목이 준비되어야 합니다.

  • VM은 2019년 12월 서비스 릴리스 이전의 [가상 시스템 가져오기] 마법사를 사용하여 생성될 때 항상 도메인에 가입됩니다. 또한 사용자가 VM을 수동으로 생성하고 도메인에 명시적으로 가입하거나, 2019년 12월 서비스 릴리스 이후에 [가상 시스템 가져오기] 마법사를 사용하여 생성한 후 해당 마법사 옵션을 선택하여 도메인에 가입한 경우에도 VM이 도메인에 가입됩니다. 2019년 12월 서비스 릴리스 이전에는 [가상 시스템 가져오기] 마법사를 통해 VM이 항상 도메인에 자동으로 가입되었습니다.
  • Horizon Agent 소프트웨어는 VM의 Microsoft Windows 운영 체제에 설치됩니다.

기본적으로 에이전트 소프트웨어는 에이전트 소프트웨어가 설치되어 있는 VM의 로컬 관리자 계정 외의 계정을 사용하여 VM의 게스트 Microsoft Windows 시스템에 대해 RDP를 수행하지 못하게 합니다. 예를 들어, 로컬 관리자 그룹의 멤버인 도메인 관리자 계정을 사용하여 마스터 VM에 대해 RDP를 수행하려고 하면 처음에는 연결이 수행되더라도 Microsoft Windows 세션이 시작될 때 메시지가 표시됩니다. 이 메시지는 가상 데스크톱에 대한 직접 연결이 허용되지 않음을 나타냅니다.


가상 데스크톱에 대한 직접 연결이 허용되지 않음을 나타내는 DaaS Agent 메시지

하지만 일부 조직에는 일반적으로 도메인에 가입된 VM에서 로컬 관리자 계정을 사용하지 못하게 하는 정책이 있습니다. RDP를 수행하고 로그인하여 마스크 VM을 사용자 지정하는 기능을 도메인 계정에 제공하기 위해 에이전트 소프트웨어를 설치하여 DaaS 직접 연결 사용자라는 로컬 그룹을 생성합니다. 이 그룹에는 로컬 관리 권한이 없습니다. 에이전트는 이 그룹의 도메인 계정이 직접 RDP 연결을 사용하여 데스크톱에 연결할 수 있도록 허용합니다. DaaS 직접 연결 사용자 그룹은 빈 상태로 생성됩니다. 이미지를 사용자 지정하는 데 사용하려는 해당 도메인 계정에 RDP 기능을 제공하기 위해 해당 도메인 사용자를 DaaS 직접 연결 사용자 로컬 그룹에 추가합니다.

다음 스크린샷은 이미지 가져오기 마법사를 사용하여 생성한 마스터 이미지에서 로컬 사용자 및 그룹 창의 DaaS 직접 연결 사용자 그룹을 보여 주는 예입니다.

로컬 사용자 및 그룹 창과 DaaS Direct Connect 사용자 그룹을 가리키는 녹색 화살표를 보여 주는 스크린샷

로컬 관리자 계정을 사용하여 VM에 직접 연결할 수 없는 경우 Active Directory 환경의 GPO(그룹 정책 개체) 정책을 사용하여 도메인 계정을 DaaS 직접 연결 사용자 그룹에 추가합니다. 다음 단계에서는 도메인에 가입된 VM의 DaaS 직접 연결 사용자 그룹에 멤버를 추가하기 위해 GPO 정책의 제한된 그룹 - 멤버 방법을 사용하는 방법을 설명합니다.

  1. Active Directory 환경에서 새 GPO를 생성합니다.
  2. GPO를 마우스 오른쪽 버튼으로 클릭하고 편집을 선택합니다.
  3. 그룹 정책 관리 편집기에서 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 제한된 그룹으로 이동합니다.
  4. 제한된 그룹을 마우스 오른쪽 버튼으로 클릭하고 그룹 추가를 선택합니다.
  5. [그룹 추가] 상자에 DaaS 직접 연결 사용자를 입력하고 확인을 클릭합니다.
  6. 속성 대화상자에서 이 그룹의 멤버 영역 및 해당 추가 버튼을 사용하여 마스터 VM에 연결할 수 있도록 하려는 해당 도메인 계정을 추가합니다.
  7. 이 그룹의 멤버 영역으로 계정 추가 작업을 마치면 확인을 클릭하여 속성 대화상자를 닫습니다.
  8. 그룹 정책 관리 편집기 및 그룹 정책 관리 콘솔을 닫습니다.
  9. 새로 생성한 GPO를 마스터 VM에 사용되는 동일한 도메인에 연결합니다.

새 GPO가 도메인에 연결된 후에, 지정된 해당 도메인 계정 중 하나를 사용하여 마스터 VM에 대해 RDP를 수행하고 사용자 지정할 수 있습니다. 가져온 이미지 VM의 Windows 운영 체제 사용자 지정 및 해당 하위 항목에 설명된 단계를 따릅니다.