基于Active Directory ou的控制器发现

支持此交付控制器发现方法主要是为了向后兼容，并且仅对Windows Desktop操作系统的虚拟交付代理(VDAs)有效，而不适用于Windows Server操作系统的VDAs。

有关您可以配置的使VDA注册到控制器的其他方法(包括推荐的方法)的信息，请参见VDA注册到控制器。

基于Active directory的发现要求站点中的所有计算机都是域的成员，控制器使用的域和桌面使用的域之间具有相互信任的关系。如果使用这种方式，则必须在每个桌面注册表中配置OU的GUID。

需要执行基于ou的Controller发现，使用Set-ADControllerDiscovery.ps1控制器上的PowerShell脚本(每个控制器都包含这个脚本在$Env:ProgramFiles\Citrix\Broker\Service\Setup Scripts文件夹中)。要运行该脚本，您必须在父OU上拥有CreateChild权限，以及完全的管理权限。

创建站点时，如果桌面希望通过Active Directory发现站点中的控制器，则必须在Active Directory中创建相应的OU。OU可以在包含您的计算机的林中的任何域中创建。作为最佳实践，OU还应该在站点中包含控制器，但这不是强制的或必需的。具有适当权限的域管理员可以将OU创建为空容器，然后将OU的管理权限委托给Citrix管理员。

该脚本创建了几个基本对象。只创建和使用标准的Active Directory对象。没有必要扩展模式。

• 控制器安全组。站点中所有控制器的计算机帐户必须是此安全组的成员。站点中的桌面只有在控制器是该安全组的成员时才接受来自控制器的数据。

  确保所有运行VDA的虚拟桌面上的所有控制器都具有“从网络访问这台计算机”的权限。您可以通过向Controllers安全组授予此特权来实现这一点。如果控制器没有这个特权，vda将不会注册。

• 一个服务连接点(SCP)对象，它包含有关站点的信息，例如站点名称。如果使用Active Directory用户和计算机管理工具检查站点OU，则可能需要在“视图”菜单中启用“高级功能”以查看SCP对象。

• 一个名为RegistrationServices的容器，在Site OU中创建。这为站点中的每个控制器包含一个SCP对象。每次控制器启动时，它都会验证其SCP的内容，并在必要时更新它。

如果多个管理员可能在初始安装后添加和删除controller，那么他们需要在RegistrationServices容器上创建和删除子容器以及在Controllers安全组上Write属性的权限。这些权限将自动授予运行Set-ADControllerDiscovery的管理员。ps1脚本。域管理员或原始安装管理员可以授予这些权限，Citrix建议为此设置一个安全组。

使用站点OU时:

• 只有在安装或卸载此软件时，或者当控制器启动并需要更新其SCP中的信息时(例如，因为控制器被重命名或通信端口被更改)，才会将信息写入Active Directory。缺省情况下，Set-ADControllerDiscovery。ps1脚本对Site OU中的对象适当地设置权限，赋予每个Controller Write对其SCP的访问权。Site OU中对象的内容用于在桌面和控制器之间建立信任关系。确保:
  • 只有经过授权的管理员才能使用安全组的访问控制列表(ACL)从Controllers安全组中添加或删除计算机。
  • 只有经过授权的管理员和相应的控制器才能更改控制器的SCP中的信息。
• 如果您的部署使用复制，请注意潜在的延迟。有关详细信息，请参阅Microsoft文档。如果您在域中创建站点OU，而该域控制器位于多个Active Directory站点中，这一点尤其重要。根据桌面、控制器和域控制器的位置，在最初创建站点OU、安装或卸载控制器或更改控制器名称或通信端口时对Active Directory所做的更改可能对桌面不可见，直到该信息复制到适当的域控制器。这种复制延迟的症状包括桌面无法与控制器建立联系，因此无法用于用户连接。
• 该软件使用Active Directory中的几个标准计算机对象属性来管理桌面。根据您的部署，机器对象的完全限定域名(存储在桌面的Active Directory记录中)可以包括在返回给用户以建立连接的连接设置中。请确保此信息与DNS环境中的信息一致。

要使用基于ou的控制器发现将控制器移动到另一个站点，请遵循上述移动控制器的说明。从旧站点删除控制器后(步骤2)，运行PowerShell脚本Set-ADControllerDiscovery同步。该脚本将OU与当前控制器集同步。加入现有站点后(步骤3)，在新站点中的任何控制器上运行相同的脚本。

基于ou的发现所需的权限

创建Site时，运行脚本的Citrix管理员必须在Site OU上拥有创建对象(SCP、容器和安全组)的权限。

如果站点OU不存在，管理员也必须具有创建站点OU的权限。Citrix建议AD域管理员预先创建该OU，并将其权限委托给Citrix Site管理员身份。脚本还可以创建Site OU。为此，管理员需要在新OU的父OU上具有“create OU”的权限。但是，如上所述，Citrix不建议这样做。

之后，要从站点中添加或删除控制器，Citrix管理员必须有权从安全组中添加/删除计算机，并创建/删除SCP。

正常操作时，controller和vda需要对OU及以下所有对象具有读权限。vda作为自己的机器标识访问OU;该机器标识至少需要OU中的读权限才能发现控制器。Controller还需要在容器中自己的SCP对象上设置属性的权限。

向Citrix管理员授予子ou的全部权限将允许所有这些操作。但是，如果您的部署有更严格的安全需求(例如限制谁可以为哪个操作使用脚本)，则可以使用delegate of Control向导来设置特定的权限。下面的示例过程授予创建站点的权限。

1. 创建OU，用于存放子对象(SCP (Service Connection Point)、容器和安全组)。
2. 选择OU，然后右键单击并选择委托控制。
3. 在“控制的委派”向导中，指定要为OU委派控制的域用户。
4. 在委派任务页面,选择创建要委派的自定义任务。
5. 在对象类型页，接受默认值这个文件夹，这个文件夹中的现有对象，以及在这个文件夹中创建的新对象。
6. 在权限页，选择写入并创建所有子对象复选框。
7. 完成向导以确认权限。