更新时间:2026-01-19 GMT+08:00
Workspace配置的域管理账号需要哪些权限?
Workspace配置的域管理员账号需要配置域用户或虚拟机所在OU委派如下控制,用于服务创建虚拟桌面和添加桌面加入域、终端用户域账号认证、查询用户\用户组信息:
- 创建计算机对象:允许服务账户在OU中创建新的计算机账户。
- 删除计算机对象:允许服务账户删除计算机账户(可选,界面上可以选择是否操作)。
- 重置密码:允许服务账户重置计算机账户密码,在配置或维护期间可能需要重置。
- 读写账户限制:允许服务账户读取和修改账户限制,确保正确配置计算机对象。
- 验证写入DNS主机名:确保服务账户可以更新计算机对象的DNS主机名属性,这对于在加入域期间正确注册DNS至关重要。
- 验证写入服务主体名称(SPN):允许服务账户更新SPN,这是Kerberos身份验证和域功能所必需的。
权限配置示例一:
- 通过账号密码登录AD服务器。
- 按“win + r”,在弹出的运行框中输入“dsa.msc”,打开“Active Directory 用户和计算机”页面。
- 右键单击域名(如:vdesktop.huawei.com),选择“委派控制”。
- 在“控制委派向导”页面单击“下一步”。
- 单击“添加”,在输入框中输入账户(域管理员账号),单击“检查名称”,单击“确定”。
- 单击“下一步”。
- 勾选“创建自定义任务去委派”,单击“下一步”。
- 勾选“只是在这个文件夹中的下列对象”可配置相应权限。
- 勾选“计算机对象”,可配置“创建计算机对象”和“删除计算机对象”的权限。
- 勾选“account 对象”,可配置“读写账户限制”的权限。
- 勾选“msDNS-ServerSettings 对象”,可配置“验证写入DNS主机名”的权限。
- 单击“下一步”。
- 根据需要在“权限”配置如下权限。
- 创建计算机对象:勾选“读取”、“写入”、“创建所有子对象”、“读取所有属性”权限。
- 删除计算机对象:勾选“读取”、“写入”、“删除所有子对象”、“读取所有属性”权限。
- 读写账户限制:勾选“读取”、“写入”、“读取所有属性”权限。
- 验证写入DNS主机名:勾选“完全控制”。
- 单击“下一步”,单击“完成”。
权限配置示例二:
- 通过账号密码登录AD服务器。
- 按“win + r”,在弹出的运行框中输入“dsa.msc”,打开“Active Directory 用户和计算机”页面。
- 右键单击域名(如:vdesktop.huawei.com),选择“属性”。
- 选择“安全”页签,在权限下单击“高级”。
- 单击“添加”,单击“选择主体”,在输入框中输入账户(域管理员账号),单击“检查名称”,两次单击“确定”。
- 类型默认为“允许”,应用于选择“后代计算机对象”。
- 重置密码:勾选“重置密码”。
- 验证写入服务主体名称(SPN):勾选“已验证的到服务主体名称的写入”。
- 单击“确定”。
父主题: 身份认证与AD配置
