针对 Microsoft Azure 中的网茧,从网茧资讯清单 1230 版及更新版本开始,网域账户可以直接连线至已安装代理程式软件的映像虚拟机器。在网茧资讯清单 1230 之前,已加入网域的虚拟机器中安装的代理程式软件,会防止网域账户直接连线至该虚拟机器。从网茧资讯清单 1230 开始,您可以使用网域账户来登入并自订映像虚拟机器。不过,如果您的网茧采用早于 1230 的资讯清单,您可以使用这些步骤来设定让网域账户从远端连线至已汇入映像的功能。
如此一来,您可以依据组织的需求自订映像,且您必须能够从远端连线并登入该映像位于 Microsoft Azure 中的虚拟机器。如果映像虚拟机器已加入 Active Directory 网域,且组织的原则会防止在已加入网域的虚拟机器上使用本机管理员账户,则您必须先使用要用来自订映像的网域账户设定映像“DaaS 直接连线使用者”本机群组,才能登入映像虚拟机器。
您可以使用远端桌面通讯协定 (RDP) 软件,连线至 Microsoft Azure 中的映像虚拟机器。在建立映像虚拟机器的整体程序中,系统将会设定下列项目:
虚拟机器在使用 2019 年 12 月服务版本之前的“汇入虚拟机器”精灵建立时,一律会加入网域。如果以手动方式建立虚拟机器,且您明确将其加入网域,或使用 2019 年 12 月服务版本之后的“汇入虚拟机器”精灵建立虚拟机器,且您选取了加入网域的精灵选项,虚拟机器也会加入网域。在 2019 年 12 月服务版本之前,“汇入虚拟机器”精灵一律会自动将虚拟机器加入网域。
Horizon Agent 软件会安装在虚拟机器的 Microsoft Windows 操作系统中。
依预设,此代理程式软件会防止使用代理程式软件安装所在之虚拟机器的本机管理员账户以外的任何账户,透过 RDP 连线至虚拟机器的客体 Microsoft Windows 系统账户。例如,当您尝试使用属于本机管理员群组成员的网域管理员账户透过 RDP 连线至映像虚拟机器时,即使连线已完成初始建立,当 Microsoft Windows 工作阶段启动时,仍会显示一则讯息。此讯息会指出不允许直接连线至您的虚拟桌面。
不过,有些组织通常会有防止在已加入网域之虚拟机器上使用本机管理员账户的原则。若要启用提供网域账户透过 RDP 连线并登入以自订映像虚拟机器的功能,安装此代理程式软件也会建立名为“DaaS 直接连线使用者”的本机群组。此群组没有本机管理权限。代理程式可让此群组中的网域账户使用直接 RDP 连线对桌面进行连线。“DaaS 直接连线使用者”群组在建立时为空白。若要为要用来自订映像的网域账户提供 RDP 功能,您可以将这些网域使用者新增至“DaaS 直接连线使用者”本机群组。
下列萤幕撷取画面显示的范例说明使用“从 Marketplace 汇入虚拟机器”精灵建立之映像虚拟机器上 [本机使用者和群组] 视窗中所显示的“DaaS 直接连线使用者”群组。
当您无法使用本机管理员账户直接连线至虚拟机器时,可以使用 Active Directory 环境中的群组原则物件 (GPO) 原则,将网域账户新增至“DaaS 直接连线使用者”群组。下列步骤说明如何使用 GPO 原则的“受限群组 - 成员隶属”方法,将成员新增至已加入网域之虚拟机器的“DaaS 直接连线使用者”群组。
以鼠标右键按一下 GPO,然后选取编辑。
以鼠标右键按一下受限群组,然后选取新增群组。
在 [内容] 对话方块中,使用这个群组的成员区域和其新增按钮,新增您想要连线至映像虚拟机器的网域账户。
在您将账户新增至这个群组的成员区域后,请按一下确定以关闭 [内容] 对话方块。
关闭群组原则管理编辑器和群组原则管理主控台。
将新建立的 GPO 连结至用于映像虚拟机器的相同网域。
在新的 GPO 连结至网域后,您可以使用其中一个指定的网域账户透过 RDP 连线至映像虚拟机器,并加以自订。请依照自订已汇入虚拟机器的 Windows 操作系统及其副主题中说明的步骤操作。