設定身分識別提供者後,請在內部部署 Active Directory 上建立兩個網域繫結帳戶和兩個網域加入帳戶。稍後,您將使用 Horizon Universal Console 將這些帳戶的詳細資料提供給 Horizon Cloud

Horizon Cloud 需要您指定以下 AD 帳戶的兩個執行個體作為服務帳戶。

  • 一個網域繫結帳戶,用於在 AD 網域中執行查閱。
  • 一個網域加入帳戶,用於將電腦帳戶加入網域、從網域中移除電腦帳戶,以及執行 Sysprep 作業
重要:

請遵守以下準則來為這些服務帳戶指定 Active Directory 帳戶。

  • 如果主要和輔助網域繫結帳戶都到期或變得無法存取,則單一登入無法運作,您也無法加入新桌面。如果在主要或輔助網域繫結帳戶上未設定永不到期,請確保帳戶有不同的到期時間。您將必須隨著到期時間接近持續追蹤,並且在到達到期時間之前更新 Horizon Cloud 網域繫結帳戶資訊。
  • 如果主要和輔助網域加入帳戶都到期或變得無法存取,則單一登入無法運作,您也無法加入新桌面。如果在主要或輔助網域加入帳戶上設定永不到期,請確保帳戶有不同的到期時間。您必須隨著到期時間接近持續追蹤,並且在到達到期時間之前更新 Horizon Cloud 網域加入帳戶資訊。

網域繫結帳戶 - 必要的 Active Directory 權限

針對您預期 Horizon Cloud 所提供的桌面即服務作業 (例如將桌面虛擬機器指派給使用者) 中會用到的所有 AD 組織單位 (OU),網域繫結帳戶必須具有讀取權限來查詢 AD 帳戶。網域繫結帳戶需要能夠列舉您 Active Directory 中的物件。網域繫結帳戶需要您預期要與 Horizon Cloud 搭配使用之所有 OU 和物件的下列權限:

  • 列出內容
  • 讀取全部內容
  • 讀取權限
  • 讀取 tokenGroupsGlobalAndUniversal (由 [讀取全部內容] 權限隱含表示)
重要: 一般而言,對於網域繫結帳戶,應授與預設立即可用的讀取存取相關權限 (此權限通常會授與 Microsoft Active Directory 部署中的 驗證使用者)。在立即可用的 Microsoft Active Directory 部署中,一般會為 驗證使用者授與的預設設定,通常會讓標準網域使用者帳戶能夠執行 Horizon Cloud 在網域繫結帳戶方面所需的必要列舉。但是,如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限,您必須要求這些 AD 管理員保留 驗證使用者標準預設值,以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。

網域加入帳戶 - 必要的 Active Directory 權限

網域加入帳戶設定於租用戶層級。對於您租用戶機群中所有網繭的所有網域加入相關作業,系統都會使用在 Active Directory 登錄中設定的相同網域加入帳戶。

如果伺服器陣列和 VDI 桌面指派電腦 OU 文字方塊與 Active Directory 登錄中的預設 OU 不同,則系統會在您於 Active Directory 登錄工作流程 (位於該工作流程中的預設 OU 文字方塊) 中所指定 OU 內,以及您於所建立伺服器陣列和 VDI 桌面指派中所指定 OU 內的網域加入帳戶上執行明確的權限檢查。

若要涵蓋您可能曾經使用子 OU 的案例,適用的最佳做法是將這些必要權限設定為套用至電腦 OU 的所有子系物件。

重要:
  • 清單中的部分 AD 權限依預設通常由 Active Directory 指派給帳戶。不過,如果您在 Active Directory 中具有有限的安全性權限,則必須確保網域加入帳戶對您預期將與 Horizon Cloud 搭配使用的組織單位和物件具有這些權限。
  • 在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定 Prevent Accidental Deletion 屬性,而將 Deny 套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的 Deny,因此針對新增的 OU,您可能必須先確認並手動清除 OU 和所有子系 OU 中為「刪除所有子系物件」設定的 Deny 權限,才能在 Horizon Universal Console 中使用網域加入帳戶。

重複使用電腦帳戶

必須使用以下步驟,以授權網域加入使用者帳戶重複使用現有的電腦帳戶:

  • 建立新的通用安全群組。
  • 將所有網域加入使用者帳戶新增至新的安全群組。
  • 對於所有相關的群組原則物件 (GPO),啟用網域控制站:允許在網域加入期間重複使用電腦帳戶
  • 按一下編輯安全性...
  • 受信任電腦帳戶擁有者的安全性設定對話方塊中,按一下新增...
  • 選取新的安全群組,然後按一下確定

針對每個網域執行這些步驟。