각 연결 서버 호스트를 Microsoft Active Directory 도메인에 가입시켜야 합니다. 호스트를 도메인 컨트롤러로 사용하면 안 됩니다.
또한 Active Directory는 단일 사용자 시스템 및 RDS 호스트를 비롯한 Horizon Agent 시스템과, VMware Horizon 8 배포의 사용자 및 그룹을 관리합니다. 사용자 및 그룹에 원격 데스크톱 및 애플리케이션에 대한 권한을 부여하고 VMware Horizon 8에서 관리자가 될 사용자 및 그룹을 선택할 수 있습니다.
Horizon Agent 시스템, 사용자 및 그룹을 다음 Active Directory 도메인에 배치할 수 있습니다.
- 연결 서버 도메인
- 연결 서버 도메인과 양방향 신뢰 관계가 있는 다른 도메인
- 연결 서버 도메인과 단방향 외부 또는 영역 신뢰 관계에 있지만 이 연결 서버 도메인이 포함되어 있지 않은 다른 포리스트에 있는 도메인
- 연결 서버 도메인과 단방향 또는 양방향 전이적 포리스트 신뢰 관계에 있지만 이 연결 서버 도메인이 포함되어 있지 않은 다른 포리스트에 있는 도메인
- 신뢰할 수 없는 도메인
사용자는 Active Directory를 사용하여 연결 서버 도메인, 신뢰 계약이 존재하는 모든 추가 사용자 도메인 및 신뢰할 수 없는 도메인에 대해 인증됩니다.
사용자 및 그룹이 신뢰할 수 있는 단방향 도메인에 있는 경우 Horizon Console에서 관리자 사용자에 대한 보조 자격 증명을 제공해야 합니다. 관리자는 이러한 사용자에게 신뢰할 수 있는 단방향 도메인에 대한 액세스 권한을 제공하려면 보조 자격 증명이 있어야 합니다. 신뢰할 수 있는 단방향 도메인은 외부 도메인이거나 전이적 포리스트 신뢰 관계에 있는 도메인일 수 있습니다.
보조 자격 증명은 최종 사용자의 데스크톱 또는 애플리케이션 세션이 아니라 Horizon Console 세션에만 필요합니다. 관리자 사용자만 보조 자격 증명이 필요합니다.
vdmadmin -T 명령을 사용하여 보조 자격 증명을 제공할 수 있습니다.
- 개별 관리자에 대해 보조 자격 증명을 구성합니다.
- 포리스트 신뢰의 경우 포리스트 루트 도메인에 대해 보조 자격 증명을 구성할 수 있습니다. 그러면 연결 서버는 포리스트 신뢰 관계에 있는 하위 도메인을 열거할 수 있습니다.
자세한 내용은 "Horizon 8 관리" 문서의 "-T 옵션을 사용하여 관리자에게 보조 자격 증명 제공"을 참조하십시오.
신뢰할 수 있는 단방향 도메인에서는 스마트 카드 및 사용자의 SAML 인증이 지원되지 않습니다.
신뢰할 수 있는 도메인에서 사용자를 인증하는 경우 단방향 신뢰 환경에서는 인증되지 않은 액세스가 지원되지 않습니다. 예를 들어, 두 개의 도메인인 도메인 A와 도메인 B가 있습니다. 도메인 B에는 도메인 A에 대한 단방향 송신 신뢰 관계가 있습니다. 도메인 B의 연결 서버에서 인증되지 않은 액세스를 사용하도록 설정하고 도메인 A의 사용자 목록에서 인증되지 않은 액세스 사용자를 추가한 다음, 인증되지 않은 사용자에게 게시된 데스크톱 또는 애플리케이션 풀에 대한 사용 권한을 부여하면 이 사용자는 Horizon Client에서 인증되지 않은 액세스 사용자로 로그인할 수 없습니다.
Windows용 Horizon Client의 [현재 사용자로 로그온] 기능이 신뢰할 수 있는 단방향 도메인에서 지원됩니다.
신뢰할 수 없는 도메인
연결 서버 도메인과의 공식적인 신뢰 관계가 없는 연결 서버 도메인 이외의 다른 포리스트에 있는 도메인은 신뢰할 수 없는 도메인 관계입니다. 신뢰할 수 없는 도메인 관계의 경우 사용자는 기본 도메인 바인딩 계정 자격 증명을 사용하여 인증됩니다. 사용자는 기본 도메인 바인딩 계정에 액세스할 수 없는 경우만 보조 도메인 바인딩 계정으로 인증을 받을 수 있습니다. 신뢰할 수 없는 도메인 구성에 대한 자세한 내용은 "Horizon 8 관리" 의 “신뢰할 수 없는 도메인 구성”을 참조하십시오.
- 현재 사용자로 로그온
- vdmadmin 명령
- 신뢰할 수 없는 도메인의 관리자 사용자 추가
- IPv6
- AD UPN이 없는 AD 사용자 식별