Horizon Cloud 需要您的 Active Directory (AD) 網域中的兩個帳戶,以用作服務帳戶。本主題說明那兩個帳戶必須符合的需求。

Horizon Cloud 需要您指定兩個 AD 帳戶,以用作這兩個服務帳戶。

  • 一個網域繫結帳戶,用於在 AD 網域中執行查閱。
  • 一個網域加入帳戶,用於將電腦帳戶加入網域並執行 Sysprep 作業。

您可以使用管理主控台來向 Horizon Cloud 提供這些帳戶的認證。

您必須確定您為這些服務帳戶指定的 Active Directory 帳戶符合 Horizon Cloud 對其作業的下列需求。

重要: 針對您正使用並期望與系統搭配使用的所有 OU 和物件,您必須確保網域繫結和網域加入帳戶持續具有此處所述的權限。 Horizon Cloud 無法預先填入或事先預測您可能想要在環境中使用的 Active Directory 群組。您必須使用管理主控台來為 Horizon Cloud 設定網域繫結帳戶和網域加入帳戶。

網域繫結帳戶需求

  • 網域繫結帳戶不會到期、變更或遭到鎖定。您必須使用這種帳戶組態類型,因為系統會使用主要網域繫結帳戶作為用來查詢 Active Directory 的服務帳戶。如果主要網域繫結帳戶因故無法存取,系統會接著使用輔助網域繫結帳戶。如果主要和輔助網域繫結帳戶同時到期或變得無法存取,則您無法登入管理主控台並更新組態。
    重要: 如果主要和輔助網域繫結帳戶同時到期或變得無法存取,則您無法登入管理主控台並使用工作網域繫結帳戶資訊更新組態。如果您不在主要或輔助網域繫結帳戶上設定 永不到期,您應該讓它們有不同的到期時間。您將必須隨著到期時間接近持續追蹤,並且在到達到期時間之前更新 Horizon Cloud 網域繫結帳戶資訊。
  • 網域繫結帳戶需要 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >
  • 網域繫結帳戶至少必須具有可以查詢所有 AD 組織單位 (OU) 之 AD 帳戶的讀取權限,即您預期在 Horizon Cloud 所提供桌面即服務作業 (例如將桌面虛擬機器指派給您的使用者) 中使用的所有 AD 組織單位。網域繫結帳戶需要能夠列舉您 Active Directory 中的物件。
    重要:
    • Active Directory 中的一般預設設定可提供標準網域使用者帳戶執行該列舉的能力。不過,如果您在 Active Directory 中具有有限的安全性權限,則必須確保網域繫結帳戶具有您預期將與 Horizon Cloud 搭配使用之所有組織單位和物件的讀取權限。
  • 系統一律會為網域繫結帳戶指派超級管理員角色,這會授與在管理主控台中執行管理動作的所有權限。對於您不想使其擁有超級管理員權限的使用者,您應確定他們無法存取網域繫結帳戶。

網域加入帳戶需求

  • 網域加入帳戶無法變更或遭到鎖定。
  • 確保您至少符合下列準則之一:
    • 在您的 Active Directory 中,將網域加入帳戶設定為永不到期
    • 或者,設定到期時間與第一個網域加入帳戶不同的輔助網域加入帳戶。如果您選擇此方法,請確保輔助網域加入帳戶符合您在管理主控台中設定主要網域加入帳戶的相同需求。
    注意: 如果網域加入帳戶已到期,且您未設定作用中的輔助網域加入帳戶,則用於密封映像和佈建伺服器陣列 RDSH 虛擬機器和 VDI 桌面虛擬機器的 Horizon Cloud 作業將會失敗。
  • 網域加入帳戶需要 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >
  • 網域加入帳戶需要下列清單中的 AD 權限。
    重要: 清單中的部分 AD 權限依預設通常由 Active Directory 指派給帳戶。不過,如果您在 Active Directory 中具有有限的安全性權限,則必須確保網域加入帳戶對您預期將與 Horizon Cloud 搭配使用的組織單位和物件具有這些權限。

    如果伺服器陣列和 VDI 桌面指派電腦 OU 文字方塊與 Active Directory 登錄中的預設 OU 不同,則系統會在您於 Active Directory 登錄工作流程 (位於該工作流程中的預設 OU 文字方塊) 中所指定 OU 內,以及您於所建立伺服器陣列和 VDI 桌面指派中所指定 OU 內的網域加入帳戶上執行明確的權限檢查。

    若要涵蓋您可能曾經使用子 OU 的案例,適用的最佳做法是將這些權限設定為套用至電腦 OU 的所有子系物件。下表中顯示網域加入帳戶所需的 AD 權限。

    存取 套用至
    列出內容 此物件和所有子系物件
    讀取全部內容 此物件和所有子系物件
    寫入全部內容 所有子系物件
    讀取權限 此物件和所有子系物件
    重設密碼 子系電腦物件
    建立電腦物件 此物件和所有子系物件
    刪除電腦物件 此物件和所有子系物件
注意:

雖然您可以設定「完整控制權」而非個別設定所有權限,但仍建議您個別設定權限。

注意: 如果您要使用即時複製映像,則網域加入帳戶上具有其他需求。除了當您登錄 Active Directory 網域時在管理主控台中指定的 OU,網域加入帳戶也必須具有您要放置從即時複製映像所建置桌面之任何 OU 或子 OU 上列出的這些權限。
  • 列出內容
  • 讀取全部內容
  • 寫入全部內容
  • 讀取權限
  • 重設密碼
  • 建立電腦物件
  • 刪除電腦物件