Horizon Cloud 需要您的 Active Directory (AD) 網域中的兩個帳戶,以用作服務帳戶。本主題說明那兩個帳戶必須符合的需求。
Horizon Cloud 需要您指定兩個 AD 帳戶,以用作這兩個服務帳戶。
- 一個網域繫結帳戶,用於在 AD 網域中執行查閱。
- 一個網域加入帳戶,用於將電腦帳戶加入網域並執行 Sysprep 作業。
備註: 對於 Microsoft Azure 中的網繭,系統會在需要將虛擬機器加入網域的作業中使用此網域加入帳戶,例如從 Microsoft Azure Marketplace 匯入映像、建立伺服器陣列 RDSH 執行個體,以及建立 VDI 桌面執行個體等。
您可以使用雲端式管理主控台來向 Horizon Cloud 提供這些帳戶的認證。
您必須確定您為這些服務帳戶指定的 Active Directory 帳戶符合 Horizon Cloud 對其作業的下列需求。
重要: 針對您正使用並期望與系統搭配使用的所有 OU 和物件,您必須確保網域繫結和網域加入帳戶持續具有此處所述的權限。
Horizon Cloud 無法預先填入或事先預測您可能想要在環境中使用的 Active Directory 群組。您必須使用主控台來為
Horizon Cloud 設定網域繫結帳戶和網域加入帳戶。
網域繫結帳戶需求
- 網域繫結帳戶不會到期、變更或遭到鎖定。您必須使用這種帳戶組態類型,因為系統會使用主要網域繫結帳戶作為用來查詢 Active Directory 的服務帳戶。如果主要網域繫結帳戶因故無法存取,系統會接著使用輔助網域繫結帳戶。如果主要和輔助網域繫結帳戶同時到期或變得無法存取,則您無法登入雲端式主控台以及更新組態。
重要: 如果主要和輔助網域繫結帳戶都已到期或無法存取,則您無法登入主控台並使用工作網域繫結帳戶資訊更新組態。如果您不在主要或輔助網域繫結帳戶上設定 永不到期,您應該讓它們有不同的到期時間。您將必須隨著到期時間接近持續追蹤,並且在到達到期時間之前更新 Horizon Cloud 網域繫結帳戶資訊。
- 網域繫結帳戶需要 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >
- 網域繫結帳戶必須具有可以查詢所有 AD 組織單位 (OU) 之 AD 帳戶的讀取權限,即您預期在 Horizon Cloud 所提供桌面即服務作業 (例如將桌面虛擬機器指派給您使用者的作業) 中使用的所有 AD 組織單位。網域繫結帳戶需要能夠列舉您 Active Directory 中的物件。網域繫結帳戶需要您預期要與 Horizon Cloud 搭配使用之所有 OU 和物件的下列權限:
- 列出內容
- 讀取全部內容
- 讀取權限
- 讀取 tokenGroupsGlobalAndUniversal (由 [讀取全部內容] 權限隱含表示)
重要: 一般而言,對於網域繫結帳戶,應授與預設立即可用的讀取存取相關權限 (此權限通常會授與 Microsoft Active Directory 部署中的 驗證使用者)。在立即可用的 Microsoft Active Directory 部署中,一般會為 驗證使用者授與的預設設定,通常會讓標準網域使用者帳戶能夠執行 Horizon Cloud 在網域繫結帳戶方面所需的必要列舉。但是,如果組織的 AD 管理員已選擇鎖定一般使用者的讀取存取相關權限,您必須要求這些 AD 管理員保留 驗證使用者標準預設值,以便用於您將與 Horizon Cloud 搭配使用的網域繫結帳戶。 - 系統一律會為網域繫結帳戶指派超級管理員角色,這會授與在主控台中執行管理動作的所有權限。對於您不想使其擁有超級管理員權限的使用者,您應確定他們無法存取網域繫結帳戶。
網域加入帳戶需求
- 網域加入帳戶無法變更或遭到鎖定。
- 確保您至少符合下列準則之一:
- 在您的 Active Directory 中,將網域加入帳戶設定為永不到期。
- 或者,設定到期時間與第一個網域加入帳戶不同的輔助網域加入帳戶。如果您選擇此方法,請確保輔助網域加入帳戶符合您在主控台中設定主要網域加入帳戶的相同需求。
注意: 如果網域加入帳戶已到期,且您未設定作用中的輔助網域加入帳戶,則用於密封映像和佈建伺服器陣列 RDSH 虛擬機器和 VDI 桌面虛擬機器的 Horizon Cloud 作業將會失敗。 - 網域加入帳戶需要 sAMAccountName 屬性。sAMAccountName 屬性必須小於或等於 20 個字元,且不得包含下列任何字元:"/ \ [ ] : ; | = , + * ? < >
- 網域加入帳戶的使用者名稱不可包含任何空格。
- 網域加入帳戶需要下列清單中的 AD 權限。
重要:
- 清單中的部分 AD 權限依預設通常由 Active Directory 指派給帳戶。不過,如果您在 Active Directory 中具有有限的安全性權限,則必須確保網域加入帳戶對您預期將與 Horizon Cloud 搭配使用的組織單位和物件具有這些權限。
- 在 Microsoft Active Directory 中,當您建立新的 OU 時,系統可能會自動設定
Prevent Accidental Deletion
屬性,而將Deny
套用至新建立的 OU 和所有子系物件的「刪除所有子系物件」權限。因此,如果您明確地將「刪除電腦物件」權限指派給網域加入帳戶,則在新建立的 OU 中,Active Directory 可能會將覆寫套用至該明確指派的「刪除電腦物件」權限。由於清除防止意外刪除旗標時可能不會自動清除 Active Directory 套用至「刪除所有子系物件」權限的Deny
,因此針對新增的 OU,您可能必須先確認並手動清除為 OU 和所有子系 OU 中「刪除所有子系物件」設定的Deny
權限,才能在 Horizon Cloud 主控台中使用網域加入帳戶。
如果伺服器陣列和 VDI 桌面指派電腦 OU 文字方塊與 Active Directory 登錄中的預設 OU 不同,則系統會在您於 Active Directory 登錄工作流程 (位於該工作流程中的預設 OU 文字方塊) 中所指定 OU 內,以及您於所建立伺服器陣列和 VDI 桌面指派中所指定 OU 內的網域加入帳戶上執行明確的權限檢查。
若要涵蓋您可能曾經使用子 OU 的案例,適用的最佳做法是將這些權限設定為套用至電腦 OU 的所有子系物件。下表中顯示網域加入帳戶所需的 AD 權限。
存取 套用至 列出內容 此物件和所有子系物件 讀取全部內容 此物件和所有子系物件 寫入全部內容 所有子系物件 讀取權限 此物件和所有子系物件 重設密碼 子系電腦物件 建立電腦物件 此物件和所有子系物件 刪除電腦物件 此物件和所有子系物件
注意:
雖然您可以設定「完整控制權」而非個別設定所有權限,但仍建議您個別設定權限。
注意: 如果您要使用即時複製映像,則網域加入帳戶上具有其他需求。除了當您登錄 Active Directory 網域時在主控台中指定的 OU,網域加入帳戶也必須具有您要放置從即時複製映像所建置桌面之任何 OU 或子 OU 上列出的這些權限。
- 列出內容
- 讀取全部內容
- 寫入全部內容
- 讀取權限
- 重設密碼
- 建立電腦物件
- 刪除電腦物件