Active Directory 用於建立以使用者為基礎的身分識別防火牆規則。
不支援以 Windows 2008 作為 Active Directory 伺服器或 RDSH 伺服器作業系統。
您可以向 NSX Manager 登錄一或多個 Windows 網域。NSX Manager 會從登錄的每個網域取得群組和使用者資訊,以及它們之間的關聯性。NSX Manager 還會擷取 Active Directory (AD) 認證。
在 Active Directory 同步至 NSX Manager 後,您即可根據使用者的身分識別建立安全群組,以及建立以身分識別為基礎的防火牆規則。
有關 Active Directory、事件記錄收集和 IDFW 的規模限制,請參閱 VMware 組態上限頁面。
備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應
開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。
必要條件
網域帳戶必須對網域樹狀結構中的所有物件具有 Active Directory 讀取權限。事件記錄讀取者帳戶必須具有安全性事件記錄的讀取權限。請參閱為事件記錄讀取者啟用 Windows 安全性記錄存取權。