桌面云二(域控制器和组策略权限控制)
云上办公的时代已经到来了,本文讲解了从选择桌面云解决方案、部署安装、到落地使用、运维管理其中遇到的问题和解决办法,篇幅很长,多图慎入!!!
一、Active Directory概述:
使用 Active Directory(R) 域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构,并可以提供对启用目录的应用程序(如 Microsoft(R) Exchange Server)的支持。
AD DS 提供了一个分布式数据库,该数据库可以存储和管理有关网络资源的信息,以及启用了目录的应用程序中特定于应用程序的数据。运行 AD DS 的服务器称为域控制器。管理员可以使用 AD DS 将网络元素(如用户、计算机和其他设备)整理到层次内嵌结构。内嵌层次结构包括 Active Directory 林、林中的域以及每个域中的组织单位 (OU)。
二、创建AD域控制器
创建域控制器需要一台Windows server
,为了将这台服务器的功能纯粹一点,所以我没有直接将安装了Hyper-V
的物理服务器上面直接升级为域控制器,我准备在Hyper-V
上面再安装一个windows server
虚拟机作为域控制器。安装过程比较简单,系统依然是Windows server 2012
此处就省略了...
1.新的虚拟机AD安装完成完成,配置:4核CPU、4G内存、200G硬盘
2.连接AD,使用管理员登录进去,将虚拟机的AD的计算机名改为AD
,修改完成后重启AD虚拟机。
3.将AD的网络连接改为静态IP
4.服务器管理器
->添加角色和功能
5.基于角色或基于功能的安装
6.选择本地服务器
7.勾选Active Directory域服务
8.功能默认选择即可
9.勾选如果需要,自动重新启动目标服务器
10.Active Directory域服务完成安装,此时服务器管理
的侧栏上面会多出AD DS选项。
11.选择服务器任务详细信息:部署后配置 -> 将此服务器提升为域控制器
12.选择添加新林,填写根域名:ABC.COM,域名可自定义填写,推荐的格式是xxx.COM
13.域控制选项:选项默认,输入目录还原模式密码
14.默认选择下一步
15.其他选项
16.路径:默认即可,下一步
17.查看选项:下一步检查先决条件(新系统都没有问题),进行安装。
18.安装过程中会自动重启
19.安装完成后再登录AD虚拟机(此时AD已经为域控制器),将需要使用域管理员进行登录。下面显示的SENHAO
就是域名,====后面是用户名,windows server 升级为域控制器后,将自动将默认的Administrator
管理员用户设置为域的管理员。
20.开始菜单中新增的关于域控制的应用:
组策略管理
Active Directory用户和计算机
Active Directory域和信任关系
Active Directory站点和服务
ADSI编辑器
21.到这里,域控制就建立成功了,接下来,我们将之前创建好的虚拟机加入到域中来。
三、在域控制器中添加账户和OU
1.打开Active Directory用户和计算机
选择域 右键 -> 新建 -> 组织单位
2.输入OU名称
3.选择新建好的OU 右键 -> 新建 -> 用户
4.输入用户名和登录名,下一步
5.输入用户的密码,可选择密码和账户的设置方式和状态。
6.用户创建完成,OU可以多个不同的用户进行分组进行不同的组策略管理。
四、将云桌面加入域控制器
1.使用Hyper-V连接虚拟机,打开我的电脑->属性
2.算机名 -> 更改设置
3.更改计算机名为Tom,域名为前面创建的林senhao.com,这个地方需要说一下,如果说让你输
入域名,文本框可以输入小写,那么你就输入域名的小写,比如我前面创建的senhao.com,如果文本框只能输入大写,那么就输入NetBios域名:SENHAO即可。
4.这个时候点确定会发现提示找不到域senhao.com,如果计算机需要加入域的话,网络连接需要的DNS需要填写为域控制器的IP,并且域控制器需要开启DNS服务器才能被被解析。
5.进入域控制器AD
->服务器管理器
->添加角色和功能
->基于角色或基于功能的安装
->选择本地服务器
->勾选DNS服务器
->安装(步骤和前面添加Active Directory域服务一样,所以这里就不再截图了)
6.将Tom虚拟机的网络连接中的DNS服务器更改为域控制器IP192.168.1.81并确定。
7.继续前面更改计算机名和加入域,这时候会提示要求输入有权限加入该域的账户的名称和密码
8.输入前面在域控制器中创建的FBIOU中的用户TOM的用户登录名和密码。
9.加入域成功。
10.重启计算机。
11.使用域账户Tom登录Tom虚拟机。
12.查看计算机所在的域和当前登录用户。
13.在AD中打开Active Directory用户和计算机,在Computers里面已经多出一个名为Tom的计算机了。
五、组策略禁用开始菜单关机、重启、切换用户等选项
云桌面的虚拟机加入域中之后,我们希望能够对用户进行更好的控制,并且禁用掉例如:关机
、重启
、切换用户
等权限,我们可以使用组策略来实现这一点。
1.打开组策略管理,选择之前创建好的OUFBI,右键->在这个域中创建GPO并在此处链接
2.输入GPO名称:权限管理
3.选择权限管理GPO,右键->编辑,打开组策略管理编辑器
4.选择用户配置 -> 管理模板... -> 开始菜单和任务栏 ->选择删除并阻止访问“关机”、“重新启动”、“睡眠”和“休眠”命令
,右键 ->编辑
5.勾选已启用选项,确定。
6.选择计算机配置 -> 管理模板... -> 系统 -> 登录 ->选择隐藏“快速用户切换”入口点,右键 ->编辑
7.勾选已启用选项,确定。
8.选择权限管理GPO,右键->强制
9.管理员打开“运行”,输入gpupdate /force
强制更新组策略,注意/前面有一个空格。
10.重启senhao-tim虚拟机,再使用Tom域用户登录。
11.次数查看,关机、重启选项已经没有了,但是切换用户依然存在,前面切换用户选项的配置是在OU的计算机配置中设置的,然而这个时候却并没有使虚拟机生效。
12.原因如下图,OU的GPO中存在着计算机配置和用户配置两种类型,用户配置会对OU中的所有用户生效,生效的时间为用户下一次重新登录的时候。也就是说,无论OU用户登录到哪一台虚拟机,都会使用OU的GPO对应的用户配置,这是一个面向的用户配置策略;计算机配置会对这个OU中的所有计算机生效,生效需要OU中计算机重启,也就是说OU中的计算机生效了GPO的计算机配置后,无论什么用户登录这台计算机,都会使用OU的GPO对应的计算机配置,这是一个面向计算机的配置策略。前面的切换用户选项禁用是在计算机配置中设置的,但是我们设置的OUFBI中没有计算机Tom,而我们登录的TOM计算机在OUComputers中,所以这才会导致计算机的配置无法在计算机TOM中生效。
13.知道了原因之后,我们就可以来解决这个问题了,解决办法有两个:一、使用TOM计算机的本地管理员账号登录TOM计算机,然后在TOM计算机本地的组策略管理,将计算机配置中的隐藏“快速用户切换”入口点启用,这个方法使用更改计算机本地的策略组配置来实现目的,简单粗暴,但不利于域控制器使用组策略统一管控;二、将计算机TOM加入到OUFBI中,TOM重启后自动同步OU的组策略,实现目的,这是看起来最简单的,然而现在并不能那么容易实现,因为计算机在加入域之后,是无法移动到其它OU中去的,只能先将计算机TOM从域中退出,然后设置计算机重定向到OUFBI,再将计算机TOM重新加入域才能实现TOM在OUFBI中。所以下面我使用本地管理员的方式来实现这一点,计算机重定向到指定OU我会在后面的(桌面云运维管理策略)中详细说明。
14.使用管理员账户登录senhao-tim虚拟机,打开运行,输入gpedit.msc
,打开组策略管理。(TOM本地的管理员账号可先通过原来的tom账户登录,然后在控制面板->账户管理登录域管理员账户
->添加一个域账户,设置为本地管理员类型,或者直接将账户Tom设置为本地管理员类型即可。)
15.选择计算机配置 -> 管理模板... -> 系统 -> 登录 ->选择隐藏“快速用户切换”入口点,右键 ->编辑
16.勾选已启用选项,确定。
17.查看开始菜单中的电源选项,关机、重启、切换用户等选项已经被删除或者不可用。
六、USB和智能卡设备重定向。
日常办公使用的时候,少不得要用到U盘,智能卡之类的USB设备,但是在云桌面上,我们是通过远程桌面协议去连接的云主机,用户能接触到的USB口都在云终端设备上面,那么怎么才能让云桌面的用户正常使用U盘呢?
设备和资源重定向:
1.选择计算机配置 -> 管理模板... -> Windows组件 -> 远程桌面服务 ->远程桌面会话主机 ->设备和资源重定向 ->将不允许受支持的即插即用设备重定向和不允许智能卡设备设备重定向设置为已禁用
。
2.管理员打开“运行”,输入gpupdate /force
强制更新组策略。
3.重启虚拟机,同步组策略即可在云终端上插入U盘和智能卡设备。
域控制器和组策略权限控制暂时就到这里了,其它还有很多的配置就不再一一介绍了。
相关文章:
桌面云一(Hyper-V搭建云桌面虚拟机)
桌面云二(域控制器和组策略权限控制)
桌面云三(云桌面资源最佳配置和组策略应用分发)
桌面云四(桌面云运维管理策略)