Horizon Cloud 需要您的 Active Directory (AD) 網域中的兩個帳戶,以用作服務帳戶。本主題說明那兩個帳戶必須符合的需求。

Horizon Cloud 需要您指定兩個 AD 帳戶,以用作這兩個服務帳戶。

  • 一個網域繫結帳戶,用於在 AD 網域中執行查閱。
  • 一個網域加入帳戶,用於將電腦帳戶加入網域並執行 Sysprep 作業。

您可以使用管理主控台來向 Horizon Cloud 提供這些帳戶的認證。

您必須確保您為這些服務帳戶指定的 AD 帳戶符合 Horizon Cloud 對其作業所需的下列需求。

重要: 您必須確保網域繫結和網域加入帳戶持續具有此處所述的權限,用於您正使用並期望與系統搭配使用的所有 OU 和物件權限。 Horizon Cloud 無法預先填入或事先預測您可能想要在環境中使用的 Active Directory 群組。您必須使用管理主控台來為 Horizon Cloud 設定網域繫結帳戶和網域加入帳戶。

網域繫結帳戶需求

  • 網域繫結帳戶不會到期、變更或遭到鎖定。您必須使用這種帳戶組態類型,因為系統會使用主要網域繫結帳戶作為用來查詢 Active Directory 的服務帳戶。如果主要網域繫結帳戶因故無法存取,系統會接著使用輔助網域繫結帳戶。如果主要和輔助網域繫結帳戶同時到期或變得無法存取,則您將無法登入管理主控台並更新組態。
    重要: 如果主要和輔助網域繫結帳戶同時到期或變得無法存取,您將無法登入管理主控台並使用工作網域繫結帳戶資訊更新組態。如果您選擇不在主要或輔助網域繫結帳戶上設定 永不到期,您應該讓它們有不同的到期時間。您將必須隨著到期時間接近持續追蹤,並且在到達到期時間之前更新 Horizon Cloud 網域繫結帳戶資訊。
  • 網域繫結帳戶需要 sAMAccountName 屬性。
  • 網域繫結帳戶至少必須具有可以查詢所有 AD 組織單位 (OU) 之 AD 帳戶的讀取權限,即您預期在 Horizon Cloud 所提供桌面即服務作業 (例如將桌面虛擬機器指派給您的使用者) 中使用的所有 AD 組織單位。網域繫結帳戶需要能夠列舉您 Active Directory 中的物件。
    重要: Active Directory 中的一般預設設定可提供標準網域使用者帳戶執行該列舉的能力。不過,如果您在 Active Directory 中具有有限的安全性權限,則必須確保網域繫結帳戶具有您預期將與 Horizon Cloud 搭配使用之所有組織單位和物件的讀取權限。

網域加入帳戶需求

  • 網域加入帳戶無法變更或遭到鎖定。
  • 確保您至少符合下列準則之一:
    • 在您的 Active Directory 中,將網域加入帳戶設定為永不到期
    • 或者,設定到期時間與第一個網域加入帳戶不同的輔助網域加入帳戶。如果您選擇此方法,請確保輔助網域加入帳戶符合您在管理主控台中設定主要網域加入帳戶的相同需求。
    注意: 如果網域加入帳戶已到期,且您未設定作用中的輔助網域加入帳戶,則用於密封映像和佈建伺服器陣列伺服器虛擬機器和 VDI 桌面虛擬機器的 Horizon Cloud 作業將會失敗。
  • 網域加入帳戶需要 sAMAccountName 屬性。
  • 網域加入帳戶需要下列清單中的 AD 權限。
    重要: 清單中的部分 AD 權限依預設通常由 Active Directory 指派給帳戶。不過,如果您在 Active Directory 中具有有限的安全性權限,則必須確保網域加入帳戶對您預期將與 Horizon Cloud 搭配使用的組織單位和物件具有這些權限。

    網域加入帳戶上所需的 AD 權限如下:

    • 列出內容
    • 讀取全部內容
    • 寫入全部內容
    • 讀取權限
    • 重設密碼
    • 建立電腦物件
    • 刪除電腦物件
注意: 如果您要使用即時複製映像,則網域加入帳戶上具有其他需求。除了當您登錄 Active Directory 網域時在管理主控台中指定的 OU,網域加入帳戶也必須具有您要放置從即時複製映像所建置桌面之任何 OU 或子 OU 上列出的這些權限。
  • 列出內容
  • 讀取全部內容
  • 寫入全部內容
  • 讀取權限
  • 重設密碼
  • 建立電腦物件
  • 刪除電腦物件