Horizon Cloud 需要您的 Active Directory (AD) 網域中的兩個帳戶,以用作服務帳戶。本主題說明那兩個帳戶必須符合的需求。
Horizon Cloud 需要您指定兩個 AD 帳戶,以用作這兩個服務帳戶。
- 一個網域繫結帳戶,用於在 AD 網域中執行查閱。
- 一個網域加入帳戶,用於將電腦帳戶加入網域並執行 Sysprep 作業。
備註: 對於 Microsoft Azure 中的網繭,系統會在需要將虛擬機器加入網域的作業中使用此網域加入帳戶,例如從 Microsoft Azure Marketplace 匯入映像、建立伺服器陣列 RDSH 執行個體,以及建立 VDI 桌面執行個體等。
您必須確定您為這些服務帳戶指定的 Active Directory 帳戶符合 Horizon Cloud 對其作業的下列需求。將第一個網繭上架至租用戶後,您可以使用雲端式管理主控台提供這些帳戶的認證。
- 請勿在 Horizon Cloud Active Directory 網域登錄以外的組態中使用這些服務帳戶。如果您在其他組態中重複使用這些服務帳戶,可能會發生非預期的結果。例如,請勿在 Workspace ONE Access Connector 組態設定中重複使用這個相同的網域繫結帳戶,否則 Horizon Universal Console 中可能會出現關於網域繫結帳戶的非預期通知。
- 針對您正使用並期望與系統搭配使用的所有 OU 和物件,您必須確保網域繫結和網域加入帳戶持續具有此處所述的權限。Horizon Cloud 無法預先填入或事先預測您可能想要在環境中使用的 Active Directory 群組。您必須使用主控台來為 Horizon Cloud 設定網域繫結帳戶和網域加入帳戶。
雖然您可以在帳戶上設定「完整控制權」而非個別設定所有權限,但仍建議您個別設定權限。
網域繫結帳戶 - 必要的特性
- 網域繫結帳戶不會到期、變更或遭到鎖定。您必須使用這種帳戶組態類型,因為系統會使用主要網域繫結帳戶作為用來查詢 Active Directory 的服務帳戶。如果主要網域繫結帳戶因故無法存取,系統會接著使用輔助網域繫結帳戶。如果主要和輔助網域繫結帳戶同時到期或變得無法存取,則您無法登入雲端式主控台以及更新組態。
重要: 如果主要和輔助網域繫結帳戶都已到期或無法存取,則您無法登入主控台並使用工作網域繫結帳戶資訊更新組態。如果您不在主要或輔助網域繫結帳戶上設定 永不到期,您應該讓它們有不同的到期時間。您將必須隨著到期時間接近持續追蹤,並且在到達到期時間之前更新 Horizon Cloud 網域繫結帳戶資訊。
- 網域繫結帳戶需要 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >
- 系統一律會為網域繫結帳戶指派超級管理員角色,這會授與在主控台中執行管理動作的所有權限。對於您不想使其擁有超級管理員權限的使用者,您應確定他們無法存取網域繫結帳戶。如需與主控台使用的角色有關的詳細資訊,請參閱關於您為人員提供兩個角色類型以在 Horizon Cloud 環境中使用 Horizon Universal Console工作的最佳做法。
網域繫結帳戶 - 必要的 Active Directory 權限
網域繫結帳戶必須具有可以查詢所有 AD 組織單位 (OU) 之 AD 帳戶的讀取權限,即您預期在 Horizon Cloud 所提供桌面即服務作業 (例如將桌面虛擬機器指派給您使用者的作業) 中使用的所有 AD 組織單位。網域繫結帳戶需要能夠列舉您 Active Directory 中的物件。網域繫結帳戶需要您預期要與 Horizon Cloud 搭配使用之所有 OU 和物件的下列權限:
- 列出內容
- 讀取全部內容
- 讀取權限
- 讀取 tokenGroupsGlobalAndUniversal (由 [讀取全部內容] 權限隱含表示)
網域加入帳戶 - 必要的特性
- 網域加入帳戶無法變更或遭到鎖定。
- 帳戶的使用者名稱不可包含空格。如果名稱包含空格,則依賴該帳戶的系統作業會發生非預期的結果。
- 網域加入帳戶需要 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >
- 確保您至少符合下列準則之一:
- 在您的 Active Directory 中,將網域加入帳戶設定為永不到期。
- 或者,設定到期時間與第一個網域加入帳戶不同的輔助網域加入帳戶。如果您選擇此方法,請確保輔助網域加入帳戶符合您在主控台中設定主要網域加入帳戶的相同需求。
注意: 如果網域加入帳戶已到期,且您未設定作用中的輔助網域加入帳戶,則用於密封映像和佈建伺服器陣列 RDSH 虛擬機器和 VDI 桌面虛擬機器的 Horizon Cloud 作業將會失敗。
網域加入帳戶 - 必要的 Active Directory 權限
網域加入帳戶設定於租用戶層級。對於您租用戶機群中所有網繭的所有網域加入相關作業,系統都會使用在 Active Directory 登錄中設定的相同網域加入帳戶。
如果伺服器陣列和 VDI 桌面指派電腦 OU 文字方塊與 Active Directory 登錄中的預設 OU 不同,則系統會在您於 Active Directory 登錄工作流程 (位於該工作流程中的預設 OU 文字方塊) 中所指定 OU 內,以及您於所建立伺服器陣列和 VDI 桌面指派中所指定 OU 內的網域加入帳戶上執行明確的權限檢查。
若要涵蓋您可能曾經使用子 OU 的案例,適用的最佳做法是將這些必要權限設定為套用至電腦 OU 的所有子系物件。
- 清單中的部分 AD 權限依預設通常由 Active Directory 指派給帳戶。不過,如果您在 Active Directory 中具有有限的安全性權限,則必須確保網域加入帳戶對您預期將與 Horizon Cloud 搭配使用的組織單位和物件具有這些權限。
- 在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定
Prevent Accidental Deletion
屬性,而將Deny
套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的Deny
,因此針對新增的 OU,您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的Deny
權限,才能在 Horizon Cloud 主控台中使用網域加入帳戶。
存取 | 套用至 |
---|---|
讀取全部內容 | 僅限此物件 |
建立電腦物件 | 此物件和所有子系物件 |
刪除電腦物件 | 此物件和所有子系物件 |
寫入全部內容 | 子系電腦物件 |
重設密碼 | 子系電腦物件 |
存取 | 套用至 |
---|---|
列出內容 | 此物件和所有子系物件 |
讀取全部內容 | 此物件和所有子系物件 |
建立電腦物件 | 此物件和所有子系物件 |
刪除電腦物件 | 此物件和所有子系物件 |
寫入全部內容 | 所有子系物件 |
讀取權限 | 此物件和所有子系物件 |
重設密碼 | 子系電腦物件 |