透過 Windows 版 Horizon Client,當使用者選取選項功能表中的以目前使用者身分登入時,就會使用他們在登入用戶端系統時提供的認證,對 Horizon Connection Server 執行個體進行驗證,以及使用 Kerberos 對遠端桌面平台進行驗證。不需要進一步驗證使用者。
為了支援此功能,使用者認證會儲存在連線伺服器執行個體與用戶端系統上。
- 在連線伺服器執行個體上,使用者認證會進行加密,並連同使用者名稱、網域與選用 UPN 一起儲存在使用者工作階段中。進行驗證時,認證會新增;工作階段物件毀損時,認證會清除。當使用者登出、工作階段逾時或驗證失敗時,工作階段物件即毀損。工作階段物件位於動態記憶體中,而未儲存在 Horizon LDAP 或磁碟檔案中。
- 在連線伺服器執行個體上啟用接受以目前使用者身分登入設定,可讓連線伺服器執行個體接受使用者在 Horizon Client 的選項功能表中選取以目前使用者身分登入時所傳遞的使用者身分識別和認證資訊。
重要: 在啟用此設定之前,必須先瞭解安全性風險。請參閱 《Horizon 安全性》文件中的〈使用者驗證的安全性相關伺服器設定〉。
- 在用戶端系統上,使用者認證已加密並儲存在 Authentication Package (Horizon Client 的元件) 的資料表中。當使用者登入時,會新增認證,當使用者登出時,會將認證從資料表中移除。資料表位在動態記憶體中。
當您選取 接受以目前使用者身分登入時,您可以啟用下列使用者設定:
- 允許舊版用戶端:支援舊版用戶端。Horizon Client 2006 版和 5.4 版及更早版本均被視為較舊的用戶端。
- 允許 NTLM 後援:如果無法存取網域控制站,系統會使用 NTLM 驗證而非 Kerberos。必須在 Horizon Client 組態中啟用 NTLM 群組原則設定。
- 停用通道繫結:用來保護 NTLM 驗證的額外一層安全防護層。依預設,用戶端上會啟用通道繫結。
- True SSO 整合:在連線伺服器上啟用此設定,以允許使用 True SSO 對桌面平台進行 SSO。例如,在巢狀模式下,系統會使用 True SSO 登入巢狀用戶端,然後執行第二次桌面平台登入。如需巢狀模式的相關資訊,請參閱《Windows 版 VMware Horizon Client 安裝和設定指南》。
- 已停用:如果用戶端未收到登入認證,則使用者必須輸入登入資訊。
- 選用:系統將使用用戶端認證 (如果有的話),否則將使用 True SSO。如果已啟用 True SSO 和以目前使用者身分登入,則建議使用此設定。
- 已啟用:系統將使用 True SSO 來登入桌面平台。
管理員可以使用 Horizon Client 群組原則設定,控制選項功能表中的以目前使用者身分登入設定的可用性,及指定其預設值。管理員也可以使用群組原則,指定哪些連線伺服器執行個體會接受使用者在 Horizon Client 中選取以目前使用者身分登入時傳遞的使用者身分識別與認證資訊。
在使用者透過「以目前使用者身分登入」功能登入連線伺服器後,會啟用遞迴解除鎖定功能。遞迴解除鎖定功能可在用戶端機器解除鎖定之後才解除鎖定所有遠端工作階段。管理員可透過
Horizon Client 中的
用戶端機器解除鎖定時,解除鎖定遠端工作階段全域原則設定,來控制遞迴解除鎖定功能。如需
Horizon Client 之全域原則設定的詳細資訊,請參閱
VMware Horizon Client 說明文件網頁上的
Horizon Client 說明文件。
備註: 如果
Horizon Client 無法存取網域控制站,則在使用以目前使用者身分登入搭配 NTLM 驗證時,遞迴解除鎖定功能可能會變慢。若要緩解此問題,請在群組原則管理編輯器中,啟用
資料夾中的群組原則設定
一律對伺服器使用 NTLM。
「以目前使用者身分登入」功能的限制與需求如下:
- 當連線伺服器執行個體上的智慧卡驗證設為「必要」時,連線至連線伺服器執行個體時選取以目前使用者身分登入的使用者將會驗證失敗。這些使用者必須在登入連線伺服器時,以其智慧卡和 PIN 碼重新驗證。
- 用戶端登入系統的時間,必須與連線伺服器主機的時間同步。
- 如果在用戶端系統上修改預設的從網路存取此電腦使用者權限指派,則必須依照 VMware 知識庫 (KB) 文章 1025691 所述進行修改。