您必須將每個連線伺服器主機加入 Active Directory 網域。主機不得為網域控制站。
Active Directory 也會管理您 VMware Horizon部署中的Horizon Agent 機器 (包括單一使用者機器和 RDS 主機) 以及使用者和群組。您可以為使用者和群組賦予使用遠端桌面平台和應用程式的權利,您也可以選取使用者和群組,作為 VMware Horizon 中的管理員。
您可以將 Horizon Agent 機器以及使用者和群組放在下列 Active Directory 網域中:
- 連線伺服器網域
- 與連線伺服器網域具有雙向信任關係的不同網域
- 位在與連線伺服器網域不同的樹系中,且由連線伺服器網域透過單向外部或領域信任關係而信任的網域
- 位在與連線伺服器網域不同的樹系中,且由連線伺服器網域透過單向或雙向可轉移樹系信任關係而信任的網域
- 不受信任的網域
使用 Active Directory 針對連線伺服器網域以及與其存在信任協議的任何其他使用者網域對使用者進行驗證。
如果您的使用者和群組位於單向受信任網域中,則必須為 Horizon Console 中的管理員使用者提供次要認證。管理員必須擁有次要認證,才能存取單向受信任網域。單向受信任網域可以是外部網域或位於可轉移樹系信任中的網域。
只有 Horizon Console 工作階段才需要次要認證,使用者的桌面平台或應用程式工作階段並不需要。只有管理員使用者才需要次要認證。
您可以使用 vdmadmin -T命令來提供次要認證。
- 請為個別管理員使用者設定次要認證。
- 至於樹系信任,您可為樹系根網域設定次要認證。接著,連線伺服器就能列舉樹系信任中的子網域。
如需詳細資訊,請參閱《Horizon 管理》文件中的〈使用 -T 選項為管理員提供次要認證〉。
在單向信任的網域中不支援使用者的智慧卡和 SAML 驗證。
在驗證來自受信任網域的使用者時,單向信任環境中不支援未驗證存取。例如,假設有兩個網域:網域 A 和網域 B,其中網域 B 對網域 A 具有單向傳出信任。當您在網域 B 中的連線伺服器上啟用未驗證存取,並從網域 A 中的使用者清單新增未驗證存取使用者,然後授權給未驗證使用者使用已發佈的桌面平台或應用程式集區時,使用者無法從 Horizon Client 以未驗證存取使用者的身分登入。
單向信任網域已可支援 Windows 版 Horizon Client 中的「以目前使用者身分登入」功能。
不受信任的網域
位於與連線伺服器網域未有任何正式信任的連線伺服器網域不同樹系中的網域,即為不受信任的網域關係。對於不受信任的網域關係,系統會使用主要網域繫結帳戶認證來驗證使用者。只有在主要網域繫結帳戶無法存取時,才能使用輔助網域繫結帳戶驗證使用者。如需設定不受信任網域的相關資訊,請參閱《Horizon 管理》文件中的《設定不受信任的網域》。
- SAML 驗證
- 智慧卡和憑證式驗證
- True SSO
- 以目前使用者身分登入
- 未驗證存取使用者
- vdmadmin 命令
- 為不受信任的網域新增管理員使用者
- IPv6