在複雜的 Active Directory 環境中,您的組織可能會有一個案例,即網繭佈建的資源已加入某個樹系中的網域,而您的使用者帳戶位於另一個樹系中的網域,且您擁有外部或樹系信任,可讓其網域中的使用者存取其他網域中的資源。本主題說明用於周遊不同樹系網域之間外部信任或樹系信任的 Horizon Cloud 支援。
在管理主控台中,您可以建立的項目稱為指派,可將使用者和群組授權至網繭佈建的資源。使用主控台建立 VDI 桌面指派或伺服器陣列時,您可以指定用來找出所產生桌面虛擬機器或伺服器陣列工作階段主機虛擬機器的雲端登錄網域。您也可以使用主控台設定指派,以針對 Active Directory 網域中的使用者和群組提供那些資源的使用。為因應針對這些指派使用複雜網域環境的情況,Horizon Cloud 提供以下支援:
- 將加入一個樹系中網域的網繭佈建資源授權給加入不同樹系中網域的使用者或群組。
- 單向信任。
重要: 不支援將網域本機群組用於
Horizon Cloud 指派。若要將來自不同樹系的群組授權給相同的指派,您必須從每個樹系中至少登錄一個通用群組。
如需對外部和樹系信任的 Horizon Cloud 支援,您必須:
- 向所有樹系中 Horizon Cloud 的所有網域登錄,其中包含您想要與從雲端連線網繭佈建之資源搭配使用的帳戶。除非群組的網域已向 Horizon Cloud 登錄,否則系統無法驗證樹系的群組。請參閱第一代租用戶 - 針對 Horizon Cloud 控制平面租用戶執行第一個必要的 Active Directory 網域登錄與使用您的 Horizon Cloud 租用戶環境登錄其他 Active Directory 網域以作為雲端設定 Active Directory 網域。如那些主題中所述,所有雲端連線網繭必須對每個雲端登錄的 Active Directory 網域具有直視性。
- 從樹系信任的兩端登錄樹系根網域。即使您在樹系根網域中沒有使用者或桌面,仍必須滿足此需求。此需求允許 Horizon Cloud 連線至樹系根,以及解碼相關的 TDO (受信任的網域物件)。
- 為每個樹系中至少一個已登錄的網域啟用全域目錄。若要達到最佳效能,所有已登錄的網域均應啟用全域目錄。
- 為了將來自不同樹系的群組授權給 Horizon Cloud 中的相同指派,您必須從每個樹系中至少登錄一個通用群組。
- 遵循樹系網域之 DNS 名稱和根命名內容的階層式結構。例如,如果父系網域名為 example.edu,則子系網域的名稱可以是 vpc.example.edu,但不可以是 vpc.com。
- 外部信任樹系中的網域應避免使用與其他已登錄網域衝突的 NETBIOS 名稱,因為此類網域會從系統列舉中排除。已登錄之 NETBIOS 名稱的優先順序,將會高於在系統列舉信任樹系的網域期間所找到之衝突 NETBIOS 名稱。