針對 Microsoft Azure 中的網繭,從網繭資訊清單 1230 版及更新版本開始,網域帳戶可以直接連線至已安裝代理程式軟體的映像虛擬機器。在網繭資訊清單 1230 之前,已加入網域的虛擬機器中安裝的代理程式軟體,會防止網域帳戶直接連線至該虛擬機器。從網繭資訊清單 1230 開始,您可以使用網域帳戶來登入並自訂映像虛擬機器。不過,如果您的網繭採用早於 1230 的資訊清單,您可以使用這些步驟來設定讓網域帳戶從遠端連線至已匯入映像的功能。

如此一來,您可以依據組織的需求自訂映像,且您必須能夠從遠端連線並登入該映像位於 Microsoft Azure 中的虛擬機器。如果映像虛擬機器已加入 Active Directory 網域,且組織的原則會防止在已加入網域的虛擬機器上使用本機管理員帳戶,則您必須先使用要用來自訂映像的網域帳戶設定映像「DaaS 直接連線使用者」本機群組,才能登入映像虛擬機器。

您可以使用遠端桌面通訊協定 (RDP) 軟體,連線至 Microsoft Azure 中的映像虛擬機器。在建立映像虛擬機器的整體程序中,系統將會設定下列項目:

  • 虛擬機器在使用 2019 年 12 月服務版本之前的「匯入虛擬機器」精靈建立時,一律會加入網域。如果以手動方式建立虛擬機器,且您明確將其加入網域,或使用 2019 年 12 月服務版本之後的「匯入虛擬機器」精靈建立虛擬機器,且您選取了加入網域的精靈選項,虛擬機器也會加入網域。在 2019 年 12 月服務版本之前,「匯入虛擬機器」精靈一律會自動將虛擬機器加入網域。
  • Horizon Agent 軟體會安裝在虛擬機器的 Microsoft Windows 作業系統中。

依預設,此代理程式軟體會防止使用代理程式軟體安裝所在之虛擬機器的本機管理員帳戶以外的任何帳戶,透過 RDP 連線至虛擬機器的客體 Microsoft Windows 系統帳戶。例如,當您嘗試使用屬於本機管理員群組成員的網域管理員帳戶透過 RDP 連線至映像虛擬機器時,即使連線已完成初始建立,當 Microsoft Windows 工作階段啟動時,仍會顯示一則訊息。此訊息會指出不允許直接連線至您的虛擬桌面。


指出不允許直接連線至虛擬桌面的 DaaS Agent 訊息

不過,有些組織通常會有防止在已加入網域之虛擬機器上使用本機管理員帳戶的原則。若要啟用提供網域帳戶透過 RDP 連線並登入以自訂映像虛擬機器的功能,安裝此代理程式軟體也會建立名為「DaaS 直接連線使用者」的本機群組。此群組沒有本機管理權限。代理程式可讓此群組中的網域帳戶使用直接 RDP 連線對桌面進行連線。「DaaS 直接連線使用者」群組在建立時為空白。若要為要用來自訂映像的網域帳戶提供 RDP 功能,您可以將這些網域使用者新增至「DaaS 直接連線使用者」本機群組。

下列螢幕擷取畫面顯示的範例說明使用「從 Marketplace 匯入虛擬機器」精靈建立之映像虛擬機器上 [本機使用者和群組] 視窗中所顯示的「DaaS 直接連線使用者」群組。

顯示本機使用者和群組視窗,並以綠色箭頭指向「DaaS 直接連線使用者」群組的螢幕擷取畫面

當您無法使用本機管理員帳戶直接連線至虛擬機器時,可以使用 Active Directory 環境中的群組原則物件 (GPO) 原則,將網域帳戶新增至「DaaS 直接連線使用者」群組。下列步驟說明如何使用 GPO 原則的「受限群組 - 成員隸屬」方法,將成員新增至已加入網域之虛擬機器的「DaaS 直接連線使用者」群組。

  1. 在 Active Directory 環境中,建立新的 GPO。
  2. 以滑鼠右鍵按一下 GPO,然後選取編輯
  3. 在群組原則管理編輯器中,導覽至電腦設定 > 原則 > Windows 設定 > 安全性設定 > 受限群組
  4. 以滑鼠右鍵按一下受限群組,然後選取新增群組
  5. 在 [新增群組] 方塊中輸入「DaaS 直接連線使用者」,然後按一下確定
  6. 在 [內容] 對話方塊中,使用這個群組的成員區域和其新增按鈕,新增您想要連線至映像虛擬機器的網域帳戶。
  7. 在您將帳戶新增至這個群組的成員區域後,請按一下確定以關閉 [內容] 對話方塊。
  8. 關閉群組原則管理編輯器和群組原則管理主控台。
  9. 將新建立的 GPO 連結至用於映像虛擬機器的相同網域。

在新的 GPO 連結至網域後,您可以使用其中一個指定的網域帳戶透過 RDP 連線至映像虛擬機器,並加以自訂。請依照自訂已匯入虛擬機器的 Windows 作業系統及其副主題中說明的步驟操作。