您可以使用 vdmadmin 命令搭配 -T 選項,提供 Active Directory 次要認證給管理員使用者。
語法
vdmadmin -T [-b authentication_arguments] -domainauth {-add | -update | -remove | -removeall | -list} -owner domain\user -user domain\user [-password password]
使用附註
如果您的使用者和群組位在與連線伺服器網域具有單向信任關係的網域中,您必須為 Horizon Console 中的管理員使用者提供次要認證。管理員必須擁有次要認證,才能存取單向受信任網域。單向受信任網域可以是外部網域或位於可轉移樹系信任中的網域。
只有工作階段才需要次要認證,使用者的桌面平台或應用程式工作階段並不需要。只有管理員使用者才需要次要認證。
使用 vdmadmin 命令,您可依每位使用者為基礎來設定次要認證。您不能設定全域指定的次要認證。
至於樹系信任,通常僅可為樹系根網域設定次要認證。接著,連線伺服器就能列舉樹系信任中的子網域。
只有當位在單向受信任網域中的使用者首次登入時,才能執行 Active Directory 帳戶鎖定、停用和登入時數檢查。
單向受信任網域不支援使用者的 PowerShell 管理和智慧卡驗證。不支援單向受信任網域中使用者的 SAML 驗證。
次要認證帳戶需要下列權限。依預設,標準使用者帳戶應該具備這些權限。
- 列出內容
- 讀取全部內容
- 讀取權限
- 讀取 tokenGroupsGlobalAndUniversal (由 [讀取全部內容] 隱含表示)
限制
- 不支援單向受信任網域中使用者的 PowerShell 管理和智慧卡驗證。
- 不支援單向受信任網域中使用者的 SAML 驗證。
選項
| 選項 | 說明 |
|---|---|
| -add | 新增擁有者帳戶的次要認證。 會執行 Windows 登入以確認指定的認證是否有效。並在 View LDAP 中為使用者建立外部安全性主體 (FSP)。 |
| -update | 更新擁有者帳戶的次要認證。 會執行 Windows 登入以確認更新的認證是否有效。 |
| -list | 顯示擁有者帳戶的安全性認證。不會顯示密碼。 |
| -remove | 移除擁有者帳戶的安全性認證。 |
| -removeall | 移除擁有者帳戶的所有安全性認證。 |
範例
新增所指定擁有者帳戶的次要認證。會執行 Windows 登入以確認指定的認證是否有效。
vdmadmin -T -domainauth -add -owner domain\user -user domain\user -password password
更新所指定擁有者帳戶的次要認證。會執行 Windows 登入以確認更新的認證是否有效。
vdmadmin -T -domainauth -update -owner domain\user -user domain\user -password password
移除所指定擁有者帳戶的次要認證。
vdmadmin -T -domainauth -remove -owner domain\user -user domain\user
移除所指定擁有者帳戶的所有次要認證。
vdmadmin -T -domainauth -removeall -owner domain\user
顯示所指定擁有者帳戶的所有次要認證。不會顯示密碼。
vdmadmin -T -domainauth -list -owner domain\user
