每一個連線代理執行個體都會加入至 Active Directory 網域，且會根據已加入網域的 Active Directory，對使用者進行驗證。此外，也會根據存在信任協議的其他任何使用者網域，對使用者進行驗證。

例如，如果連線代理執行個體是網域 A 的成員，且網域 A 和網域 B 之間存在信任協議，則來自網域 A 和網域 B 的使用者都可以使用 Horizon Client 連線至連線代理執行個體。

同樣地，如果在混合型網域環境中，網域 A 和 MIT Kerberos 領域之間存在信任協議，則來自 Kerberos 領域的使用者在使用 Horizon Client 連線至連線代理執行個體時，可以選取 Kerberos 領域名稱。

您可以將使用者和群組放在下列 Active Directory 網域中：

• 連線代理網域
• 與連線代理網域具有雙向信任關係的不同網域
• 位在與連線代理網域不同的樹系中，且由連線代理網域透過單向外部或領域信任關係而信任的網域
• 位在與連線代理網域不同的樹系中，且由連線代理網域透過單向或雙向可轉移樹系信任關係而信任的網域

連線代理會決定哪些網域可以透過周遊信任關係而存取，並先以主機所在的網域開始。若是一組連線良好的小型網域，連線代理可以快速判斷完整的網域清單，但所需的時間會隨著網域數目的增加以及網域間連線的減少而增加。此清單可能也包含使用者登入其遠端桌面平台和應用程式時，您希望不要提供給使用者的網域。

管理員可以使用 vdmadmin 命令列介面設定網域篩選，以限制連線代理執行個體搜尋並向使用者顯示的網域。如需詳細資訊，請參閱《Horizon 管理》文件。

如限制允許的登入時數和設定密碼到期日之類的原則，也會透過既有的 Active Directory 作業程序進行處理。