一、Active Directory概述:
使用 Active Directory(R) 域服務 (AD DS) 服務器角色,可以創建用于用戶和資源管理的可伸縮、安全及可管理的基礎機構,并可以提供對啟用目錄的應用程序(如 Microsoft(R) Exchange Server)的支持。
AD DS 提供了一個分布式數據庫,該數據庫可以存儲和管理有關網絡資源的信息,以及啟用了目錄的應用程序中特定于應用程序的數據。運行 AD DS 的服務器稱為域控制器。管理員可以使用 AD DS 將網絡元素(如用戶、計算機和其他設備)整理到層次內嵌結構。內嵌層次結構包括 Active Directory 林、林中的域以及每個域中的組織單位 (OU)。
二、創建AD域控制器
創建域控制器需要一臺Windows server,為了將這臺服務器的功能純粹一點,所以我沒有直接將安裝了Hyper-V的物理服務器上面直接升級為域控制器,我準備在Hyper-V上面再安裝一個windows server虛擬機作為域控制器。安裝過程比較簡單,系統依然是Windows server 2012此處就省略了...
1.新的虛擬機AD安裝完成完成,配置:4核CPU、4G內存、200G硬盤
2.連接AD,使用管理員登錄進去,將虛擬機的AD的計算機名改為AD,修改完成后重啟AD虛擬機。
3.將AD的網絡連接改為靜態IP
4.服務器管理器->添加角色和功能
5.基于角色或基于功能的安裝
6.選擇本地服務器
7.勾選Active Directory域服務
8.功能默認選擇即可
9.勾選如果需要,自動重新啟動目標服務器
10.Active Directory域服務完成安裝,此時服務器管理的側欄上面會多出AD DS選項。
11.選擇服務器任務詳細信息:部署后配置 -> 將此服務器提升為域控制器
12.選擇添加新林,填寫根域名:ABC.COM,域名可自定義填寫,推薦的格式是xxx.COM
13.域控制選項:選項默認,輸入目錄還原模式密碼
14.默認選擇下一步
15.其他選項
16.路徑:默認即可,下一步
17.查看選項:下一步檢查先決條件(新系統都沒有問題),進行安裝。
18.安裝過程中會自動重啟
19.安裝完成后再登錄AD虛擬機(此時AD已經為域控制器),將需要使用域管理員進行登錄。下面顯示的SENHAO就是域名,====后面是用戶名,windows server 升級為域控制器后,將自動將默認的Administrator管理員用戶設置為域的管理員。
20.開始菜單中新增的關于域控制的應用:
組策略管理
Active Directory用戶和計算機
Active Directory域和信任關系
Active Directory站點和服務
ADSI編輯器
21.到這里,域控制就建立成功了,接下來,我們將之前創建好的虛擬機加入到域中來。
三、在域控制器中添加賬戶和OU
1.打開Active Directory用戶和計算機
選擇域 右鍵 -> 新建 -> 組織單位
2.輸入OU名稱
3.選擇新建好的OU 右鍵 -> 新建 -> 用戶
4.輸入用戶名和登錄名,下一步
5.輸入用戶的密碼,可選擇密碼和賬戶的設置方式和狀態。
6.用戶創建完成,OU可以多個不同的用戶進行分組進行不同的組策略管理。
四、將云桌面加入域控制器
1.使用Hyper-V連接虛擬機,打開我的電腦->屬性
2.算機名 -> 更改設置
3.更改計算機名為Tom,域名為前面創建的林senhao.com,這個地方需要說一下,如果說讓你輸
入域名,文本框可以輸入小寫,那么你就輸入域名的小寫,比如我前面創建的senhao.com,如果文本框只能輸入大寫,那么就輸入NetBios域名:SENHAO即可。
4.這個時候點確定會發現提示找不到域senhao.com,如果計算機需要加入域的話,網絡連接需要的DNS需要填寫為域控制器的IP,并且域控制器需要開啟DNS服務器才能被被解析。
5.進入域控制器AD->服務器管理器->添加角色和功能->基于角色或基于功能的安裝->選擇本地服務器->勾選DNS服務器->安裝(步驟和前面添加Active Directory域服務一樣,所以這里就不再截圖了)
6.將Tom虛擬機的網絡連接中的DNS服務器更改為域控制器IP192.168.1.81并確定。
7.繼續前面更改計算機名和加入域,這時候會提示要求輸入有權限加入該域的賬戶的名稱和密碼
8.輸入前面在域控制器中創建的FBIOU中的用戶TOM的用戶登錄名和密碼。
9.加入域成功。
10.重啟計算機。
11.使用域賬戶Tom登錄Tom虛擬機。
12.查看計算機所在的域和當前登錄用戶。
13.在AD中打開Active Directory用戶和計算機,在Computers里面已經多出一個名為Tom的計算機了。
五、組策略禁用開始菜單關機、重啟、切換用戶等選項
云桌面的虛擬機加入域中之后,我們希望能夠對用戶進行更好的控制,并且禁用掉例如:關機、重啟、切換用戶等權限,我們可以使用組策略來實現這一點。
1.打開組策略管理,選擇之前創建好的OUFBI,右鍵->在這個域中創建GPO并在此處鏈接
2.輸入GPO名稱:權限管理
3.選擇權限管理GPO,右鍵->編輯,打開組策略管理編輯器
4.選擇用戶配置 -> 管理模板... -> 開始菜單和任務欄 ->選擇刪除并阻止訪問“關機”、“重新啟動”、“睡眠”和“休眠”命令,右鍵 ->編輯
5.勾選已啟用選項,確定。
6.選擇計算機配置 -> 管理模板... -> 系統 -> 登錄 ->選擇隱藏“快速用戶切換”入口點,右鍵 ->編輯
7.勾選已啟用選項,確定。
8.選擇權限管理GPO,右鍵->強制
9.管理員打開“運行”,輸入gpupdate /force強制更新組策略,注意/前面有一個空格。
10.重啟senhao-tim虛擬機,再使用Tom域用戶登錄。
11.次數查看,關機、重啟選項已經沒有了,但是切換用戶依然存在,前面切換用戶選項的配置是在OU的計算機配置中設置的,然而這個時候卻并沒有使虛擬機生效。
12.原因如下圖,OU的GPO中存在著計算機配置和用戶配置兩種類型,用戶配置會對OU中的所有用戶生效,生效的時間為用戶下一次重新登錄的時候。也就是說,無論OU用戶登錄到哪一臺虛擬機,都會使用OU的GPO對應的用戶配置,這是一個面向的用戶配置策略;計算機配置會對這個OU中的所有計算機生效,生效需要OU中計算機重啟,也就是說OU中的計算機生效了GPO的計算機配置后,無論什么用戶登錄這臺計算機,都會使用OU的GPO對應的計算機配置,這是一個面向計算機的配置策略。前面的計算機配置中設置的,但是我們設置的OUFBI中沒有計算機Tom,而我們登錄的TOM計算機在OUComputers中,所以這才會導致計算機的配置無法在計算機TOM中生效。
13.知道了原因之后,我們就可以來解決這個問題了,解決辦法有兩個:一、使用TOM計算機的本地管理員賬號登錄TOM計算機,然后在TOM計算機本地的組策略管理,將計算機配置中的隱藏“快速用戶切換”入口點啟用,這個方法使用更改計算機本地的策略組配置來實現目的,簡單粗暴,但不利于域控制器使用組策略統一管控;二、將計算機TOM加入到OUFBI中,TOM重啟后自動同步OU的組策略,實現目的,這是看起來最簡單的,然而現在并不能那么容易實現,因為計算機在加入域之后,是無法移動到其它OU中去的,只能先將計算機TOM從域中退出,然后設置計算機重定向到OUFBI,再將計算機TOM重新加入域才能實現TOM在OUFBI中。所以下面我使用本地管理員的方式來實現這一點,計算機重定向到指定OU我會在后面的(桌面云運維管理策略)中詳細說明。
14.使用管理員賬戶登錄senhao-tim虛擬機,打開運行,輸入gpedit.msc,打開組策略管理。(TOM本地的管理員賬號可先通過原來的tom賬戶登錄,然后在控制面板->賬戶管理登錄域管理員賬戶->添加一個域賬戶,設置為本地管理員類型,或者直接將賬戶Tom設置為本地管理員類型即可。)
15.選擇計算機配置 -> 管理模板... -> 系統 -> 登錄 ->選擇隱藏“快速用戶切換”入口點,右鍵 ->編輯
16.勾選已啟用選項,確定。
17.查看開始菜單中的電源選項,關機、重啟、切換用戶等選項已經被刪除或者不可用。
六、USB和智能卡設備重定向。
日常辦公使用的時候,少不得要用到U盤,智能卡之類的USB設備,但是在云桌面上,我們是通過遠程桌面協議去連接的云主機,用戶能接觸到的USB口都在云終端設備上面,那么怎么才能讓云桌面的用戶正常使用U盤呢?
設備和資源重定向:
1.選擇計算機配置 -> 管理模板... -> Windows組件 -> 遠程桌面服務 ->遠程桌面會話主機 ->設備和資源重定向 ->將不允許受支持的即插即用設備重定向和不允許智能卡設備設備重定向設置為已禁用。
2.管理員打開“運行”,輸入gpupdate /force強制更新組策略。
3.重啟虛擬機,同步組策略即可在云終端上插入U盤和智能卡設備。
域控制器和組策略權限控制暫時就到這里了,其它還有很多的配置就不再一一介紹了。
桌面云系列文章
桌面云一(Hyper-V搭建云桌面虛擬機)
桌面云二(域控制器和組策略權限控制)
桌面云三(云桌面資源最佳配置和組策略應用分發)
桌面云四(桌面云運維管理策略)
