您可以選擇性地使用 Horizon Cloud 客戶帳戶來登錄其他 Active Directory 網域。登錄 Active Directory 網域會將該網域新增至與該 Horizon Cloud 客戶帳戶相關聯的雲端設定網域集合。當網域位於一組雲端設定的網域中時,您可以接著啟用該網域中的使用者帳戶和群組,以使用系統所提供的功能,例如使用服務台功能的服務台管理員,或使用桌面相關功能的使用者。

重要: 在與網域繫結和網域加入帳戶相關的 繫結使用者名稱加入使用者名稱文字方塊中,請提供帳戶名稱本身,例如 ouraccountname,如同不含網域名稱的使用者登入名稱。
備註: 不支援通訊群組,即使它們屬於安全群組下方的巢狀群組也是如此。建立 Active Directory 群組時,請一律為 群組類型選取 安全性

必要條件

確認 Active Directory 基礎結構與精確的時間來源同步化,以避免網域加入帳戶步驟失敗。此類失敗可能需要您連絡 VMware 支援來尋求協助。如果網域繫結步驟成功,但網域加入步驟失敗,您可以嘗試重設網域,然後調查是否需要調整時間來源。若要重設網域,請參閱移除 Active Directory 網域登錄中的步驟。

對於必要的主要和輔助網域繫結帳戶,請確認您的兩個 Active Directory 使用者帳戶的資訊符合Horizon Cloud 作業所需的服務帳戶中所述的需求。

注意: 若要防止會阻止您登入雲端式主控台以管理 Horizon Cloud 環境的意外鎖定,您必須確保網域繫結帳戶不會到期、變更或遭到鎖定。您必須使用這種帳戶組態類型,因為系統會使用主要網域繫結帳戶作為用來查詢 Active Directory 的服務帳戶,以確認認證來登入主控台。如果主要網域繫結帳戶因故無法存取,系統會接著使用輔助網域繫結帳戶。如果主要和輔助網域繫結帳戶都已到期或無法存取,則您將無法登入主控台並更新組態以使用可供存取的網域繫結帳戶。

系統一律會為主要和輔助網域繫結帳戶指派超級管理員角色,而授與在主控台中執行管理動作的所有權限。對於您不想使其擁有超級管理員權限的使用者,您應確定他們無法存取指定的網域繫結帳戶。

對於網域加入帳戶,請確認帳戶符合 Horizon Cloud 作業所需的服務帳戶中所述的需求。
注意:
  • 如果您只有一個已指派了超級管理員角色的 Active Directory 群組,請勿從 Active Directory 伺服器中移除該群組。執行此作業可能會導致日後發生登入問題。
  • 當您的網繭機群在 Microsoft Azure 中有任何 Horizon Cloud Pod 執行的資訊清單早於 1600.0,則必須為網域加入帳戶授與超級管理員角色。由於角色是在群組層級上授與,因此如果您有此類網繭,如果您在 Active Directory 網域登錄之網域加入帳戶步驟中提供的網域加入帳戶尚不屬於您可以指派超級管理員角色的 Active Directory 群組之一,請為該帳戶建立 Active Directory 群組,並將該群組新增至超級管理員角色。如此一來,您可以確保當您的網繭機群具有這些較舊資訊清單的網繭時,可以將超級管理員角色指派至該網域加入帳戶。

確認您擁有 Active Directory 網域的 NetBIOS 名稱和 DNS 網域名稱。此工作流程的第一個步驟中,您將在主控台的 [登錄 Active Directory] 視窗中提供這些值。如需如何找出這些值的範例,請參閱尋找 Horizon Cloud 登錄 Active Directory 工作流程之 NETBIOS 名稱和 DNS 網域名稱欄位所需的資訊

注意: 當您登錄其他 Active Directory 網域時,請確保您的所有雲端連線網繭皆對該網域具有直視性。客戶帳戶記錄相同的所有網繭需要能夠連線至使用該帳戶登錄的相同雲端設定 Active Directory 網域集合。所有網繭皆需要能夠連線至相同的 Active Directory 伺服器,且 DNS 組態需要解析所有那些雲端設定 Active Directory 網域。

程序

  1. 在主控台中,選取設定 > Active Directory
  2. 按一下登錄
  3. 在 [登錄 Active Directory] 對話方塊中,提供要求的登錄資訊。
    重要: 使用符合先決條件所述之主要和輔助網域繫結帳戶準則的 Active Directory 帳戶。
    選項 說明
    NETBIOS 名稱
    • 如果您擁有雲端連線 Horizon 網繭,則在此步驟中,系統會顯示選取項目功能表,其中填入了 Horizon 網繭可以看到的所有 Active Directory 網域名稱。選取您想要先登錄的 Active Directory 網域。
    • 如果您僅有的雲端連線網繭位於 Microsoft Azure 中,則在此步驟中,系統會顯示文字方塊。輸入您想要登錄的 Active Directory 網域之 NetBIOS 名稱。此名稱一般不包含句號。如需如何從您的 Active Directory 網域環境尋找要使用之值的範例,請參閱尋找 Horizon Cloud 登錄 Active Directory 工作流程之 NETBIOS 名稱和 DNS 網域名稱欄位所需的資訊
    DNS 網域名稱
    通訊協定 自動顯示支援的通訊協定 LDAP
    繫結使用者名稱 網域中要用作主要 LDAP 繫結帳戶的使用者帳戶。
    備註: 請提供使用者名稱本身即可。請勿在此處包含網域名稱。
    繫結密碼 繫結使用者名稱文字方塊中名稱相關聯的密碼。
    輔助帳戶 #1 繫結使用者名稱繫結密碼欄位中,輸入要用作輔助 LDAP 繫結帳戶的網域使用者帳戶及其相關聯密碼。
    備註: 請提供使用者名稱本身即可。請勿在此處包含網域名稱。
  4. 按一下網域繫結
    當網域繫結步驟成功時,將會顯示 [網域加入] 對話方塊,且您可以繼續進行下一個步驟。
  5. 在 [網域加入] 對話方塊中,提供必要資訊。
    備註: 根據先決條件中所述,使用符合網域加入帳戶準則的 Active Directory 帳戶。
    選項 說明
    主要 DNS 伺服器 IP 您想要讓 Horizon Cloud 用來解析機器名稱之主要 DNS 伺服器的 IP 位址。

    對於 Microsoft Azure 中的網繭,此 DNS 伺服器必須能夠解析 Microsoft Azure 雲端內的機器名稱,且能夠解析外部名稱。

    次要 DNS 伺服器 IP (選用) 次要 DNS 伺服器的 IP
    預設 OU 您想要讓網繭之桌面相關虛擬機器使用的 Active Directory 組織單位 (OU),例如已匯入的虛擬機器、伺服器陣列 RDSH 虛擬機器和 VDI 桌面執行個體。Active Directory OU 的格式如同 OU=NestedOrgName, OU=RootOrgName,DC=DomainComponent。系統預設值為 CN=Computers。您可以變更預設值以符合您的需求,例如 CN=myexample
    備註: 如需巢狀組織名稱的說明,請參閱 使用巢狀 Active Directory 網域組織單位的考量事項。每個輸入的個別 OU 長度皆必須在 64 個字元以內 (不計入您輸入的 OU= 部分)。Microsoft 將個別 OU 限制在 64 個字元以內。長度超過 64 個字元、但沒有任何個別 OU 的字元數超過 64 個的 OU 路徑仍為有效。不過,每個 OU 的長度皆必須為 64 個字元以內。
    加入使用者名稱 Active Directory 中有權將電腦加入至該 Active Directory 網域的使用者帳戶。
    備註: 請提供使用者名稱本身即可。請勿在此處包含網域名稱。
    加入密碼 加入使用者名稱文字方塊中名稱相關聯的密碼。
  6. (選擇性) 指定輔助網域加入帳戶。
    如果您指定的主要網域加入帳戶變得無法存取,則系統會使用輔助網域加入帳戶,此帳戶用於那些在 Microsoft Azure 中網繭需要加入網域的作業,例如匯入映像虛擬機器、建立伺服器陣列 RDSH 執行個體,以及建立 VDI 桌面執行個體等。
    備註:
    • 根據先決條件中所述,使用符合主要網域加入帳戶相同準則的 Active Directory 帳戶。確保此輔助網域加入帳戶具有與主要網域加入帳戶不同的到期時間,除非這兩個帳戶已設定永不到期。如果主要和輔助網域加入帳戶同時到期,則系統用於密封映像並佈建伺服器陣列 RDSH 虛擬機器和 VDI 桌面虛擬機器的作業將會失敗。
    • 您僅能為每個登錄至 Horizon Cloud 的 Active Directory 新增一個輔助網域加入帳戶。
    • 如果您未在此時新增輔助網域加入帳戶,則可以稍後再使用主控台新增一個。
    • 您可於後續更新或移除此帳戶。
    • 桌面相關虛擬機器上的代理程式相關軟體,例如密封的映像、伺服器陣列 RDSH 執行個體,或 VDI 桌面執行個體,皆必須為 18.1 版或更新版本,如此系統才能使用輔助網域加入帳戶來搭配該虛擬機器。
    選項 說明
    輔助加入使用者名稱 Active Directory 中有權將系統加入至該 Active Directory 網域的使用者帳戶。
    重要: 僅在此欄位中提供帳戶名稱,例如 ouraccountname,如同不含網域名稱的使用者登入名稱。輸入斜線或 @ 記號將會顯示錯誤。
    輔助加入密碼 輔助加入使用者名稱文字方塊中的名稱相關聯的密碼。
  7. 按一下儲存
    此時,如果網域加入步驟成功,則會顯示 [新增管理員] 對話方塊,且您可以繼續進行下一個步驟。
  8. 在 [新增超級管理員] 對話方塊中,使用 Active Directory 搜尋功能,以便選取您要使用主控台針對環境執行管理動作的 Active Directory 管理員群組。
    此指派可確保至少有一個 Active Directory 網域的使用者帳戶獲授與權限能夠使用 標準登入工作流程登入,而現在已針對此客戶帳戶設定 Active Directory 網域。
    重要: 如果您的網繭機群在 Microsoft Azure 中有任何 Horizon Cloud Pod 執行的資訊清單早於 1600.0,則必須將包含網域加入帳戶的 Active Directory 群組新增至超級管理員角色,如必要條件中所述。當您的網繭機群的網繭執行這些舊版資訊清單時,如果網域加入帳戶不在具有超級管理員角色的任何 Active Directory 群組中,則對這些網繭使用匯入虛擬機器工作流程可能會失敗。
  9. 按一下儲存

結果

現在下列項目已準備就緒:
  • Active Directory 網域是與此 Horizon Cloud 客戶帳戶相關聯之雲端設定 Active Directory 網域的其中一個。
  • 對於 Microsoft Azure 中的網繭,Horizon Cloud 具有那些涉及將桌面相關虛擬機器加入該網域中之系統作業所需的必要網域加入帳戶。
  • 使用您的 My VMware 認證登入 Horizon Cloud 後,在 Active Directory 登入視窗中,位於該 Active Directory 中的使用者若已有指派的 Horizon Cloud 角色,則可以選取對應於其 Active Directory 帳戶的網域。
  • 獲得您授與超級管理員角色之群組中的使用者在第一個登入畫面中使用相關聯的 My VMware 帳戶時,將能存取主控台並執行管理活動。若要讓這些管理員能夠在第一個登入步驟中使用自己的 My VMware 帳戶認證,請完成將管理角色提供給組織中的個人以進行登入,以及在 Horizon Cloud 租用戶環境中使用 Horizon 通用主控台執行動作中所述的步驟。
  • 您可以選取來自已登錄 Active Directory 網域的使用者帳戶,以針對涉及來自 Microsoft Azure 中網繭的資源進行指派。
  • 主控台的服務台功能可用於搭配來自該已登錄 Active Directory 網域的使用者帳戶。

後續步驟

此時,您通常會執行下列工作: