一、Active Directory概述:
使用 Active Directory(R) 域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构,并可以提供对启用目录的应用程序(如 Microsoft(R) Exchange Server)的支持。
AD DS 提供了一个分布式数据库,该数据库可以存储和管理有关网络资源的信息,以及启用了目录的应用程序中特定于应用程序的数据。运行 AD DS 的服务器称为域控制器。管理员可以使用 AD DS 将网络元素(如用户、计算机和其他设备)整理到层次内嵌结构。内嵌层次结构包括 Active Directory 林、林中的域以及每个域中的组织单位 (OU)。
二、创建AD域控制器
创建域控制器需要一台Windows server
,为了将这台服务器的功能纯粹一点,所以我没有直接将安装了Hyper-V
的物理服务器上面直接升级为域控制器,我准备在Hyper-V
上面再安装一个windows server
虚拟机作为域控制器。安装过程比较简单,系统依然是Windows server 2012
此处就省略了...
1.新的虚拟机AD
安装完成完成,配置:4核CPU、4G内存、200G硬盘
2.连接AD
,使用管理员登录进去,将虚拟机的AD
的计算机名改为AD
,修改完成后重启AD
虚拟机。
3.将AD的网络连接改为静态IP
4.服务器管理器
->添加角色和功能
5.基于角色或基于功能的安装
6.选择本地服务器
7.勾选Active Directory域服务
8.功能
默认选择即可
9.勾选如果需要,自动重新启动目标服务器
10.Active Directory域服务
完成安装,此时服务器管理
的侧栏上面会多出AD DS
选项。
11.选择服务器任务详细信息:部署后配置
-> 将此服务器提升为域控制器
12.选择添加新林
,填写根域名:ABC.COM,域名可自定义填写,推荐的格式是xxx.COM
13.域控制选项:选项默认,输入目录还原模式密码
14.默认选择下一步
15.其他选项
16.路径:默认即可,下一步
17.查看选项:下一步检查先决条件(新系统都没有问题),进行安装。
18.安装过程中会自动重启
19.安装完成后再登录AD
虚拟机(此时AD已经为域控制器),将需要使用域管理员进行登录。下面显示的SENHAO
就是域名,====后面是用户名,windows server 升级为域控制器后,将自动将默认的Administrator
管理员用户设置为域的管理员。
20.开始菜单中新增的关于域控制的应用:
组策略管理
Active Directory用户和计算机
Active Directory域和信任关系
Active Directory站点和服务
ADSI编辑器
21.到这里,域控制就建立成功了,接下来,我们将之前创建好的虚拟机加入到域中来。
三、在域控制器中添加账户和OU
1.打开Active Directory用户和计算机
选择域 右键
-> 新建
-> 组织单位
2.输入OU名称
3.选择新建好的OU 右键
-> 新建
-> 用户
4.输入用户名和登录名,下一步
5.输入用户的密码,可选择密码和账户的设置方式和状态。
6.用户创建完成,OU可以多个不同的用户进行分组进行不同的组策略管理。
四、将云桌面加入域控制器
1.使用Hyper-V连接虚拟机,打开我的电脑
->属性
2.算机名
-> 更改设置
3.更改计算机名为Tom
,域名为前面创建的林senhao.com
,这个地方需要说一下,如果说让你输
入域名,文本框可以输入小写,那么你就输入域名的小写,比如我前面创建的senhao.com
,如果文本框只能输入大写,那么就输入NetBios域名:SENHAO
即可。
4.这个时候点确定会发现提示找不到域senhao.com
,如果计算机需要加入域的话,网络连接需要的DNS需要填写为域控制器的IP,并且域控制器需要开启DNS服务器才能被被解析。
5.进入域控制器AD
->服务器管理器
->添加角色和功能
->基于角色或基于功能的安装
->选择本地服务器
->勾选DNS服务器
->安装(步骤和前面添加Active Directory域服务一样,所以这里就不再截图了)
6.将Tom
虚拟机的网络连接中的DNS服务器更改为域控制器IP192.168.1.81
并确定。
7.继续前面更改计算机名和加入域,这时候会提示要求输入有权限加入该域的账户的名称和密码
8.输入前面在域控制器中创建的FBI
OU中的用户TOM
的用户登录名和密码。
9.加入域成功。
10.重启计算机。
11.使用域账户Tom
登录Tom虚拟机。
12.查看计算机所在的域和当前登录用户。
13.在AD
中打开Active Directory用户和计算机
,在Computers里面已经多出一个名为Tom的计算机了。
五、组策略禁用开始菜单关机、重启、切换用户等选项
云桌面的虚拟机加入域中之后,我们希望能够对用户进行更好的控制,并且禁用掉例如:关机
、重启
、切换用户
等权限,我们可以使用组策略来实现这一点。
1.打开组策略管理
,选择之前创建好的OUFBI
,右键
->在这个域中创建GPO并在此处链接
2.输入GPO名称:权限管理
3.选择权限管理
GPO,右键->编辑
,打开组策略管理编辑器
4.选择用户配置
-> 管理模板...
-> 开始菜单和任务栏
->选择删除并阻止访问“关机”、“重新启动”、“睡眠”和“休眠”命令
,右键 ->编辑
5.勾选已启用
选项,确定。
6.选择计算机配置
-> 管理模板...
-> 系统
-> 登录
->选择隐藏“快速用户切换”入口点
,右键 ->编辑
7.勾选已启用
选项,确定。
8.选择权限管理
GPO,右键->强制
9.管理员打开“运行”,输入gpupdate /force
强制更新组策略,注意/前面有一个空格。
10.重启senhao-tim
虚拟机,再使用Tom
域用户登录。
11.次数查看,关机
、重启
选项已经没有了,但是切换用户
依然存在,前面切换用户选项的配置是在OU的计算机配置
中设置的,然而这个时候却并没有使虚拟机生效。
12.原因如下图,OU
的GPO
中存在着计算机配置
和用户配置
两种类型,用户配置会对OU中的所有用户生效,生效的时间为用户下一次重新登录的时候。也就是说,无论OU用户登录到哪一台虚拟机,都会使用OU的GPO对应的用户配置,这是一个面向的用户配置策略;计算机配置会对这个OU中的所有计算机生效,生效需要OU中计算机重启,也就是说OU中的计算机生效了GPO的计算机配置后,无论什么用户登录这台计算机,都会使用OU的GPO对应的计算机配置,这是一个面向计算机的配置策略。前面的计算机配置
中设置的,但是我们设置的OUFBI
中没有计算机Tom
,而我们登录的TOM
计算机在OUComputers
中,所以这才会导致计算机的配置无法在计算机TOM
中生效。
13.知道了原因之后,我们就可以来解决这个问题了,解决办法有两个:一、使用TOM
计算机的本地管理员账号登录TOM
计算机,然后在TOM计算机本地的组策略管理,将计算机配置中的隐藏“快速用户切换”入口点
启用,这个方法使用更改计算机本地的策略组配置来实现目的,简单粗暴,但不利于域控制器
使用组策略统一管控;二、将计算机TOM
加入到OUFBI
中,TOM
重启后自动同步OU的组策略,实现目的,这是看起来最简单的,然而现在并不能那么容易实现,因为计算机在加入域之后,是无法移动到其它OU中去的,只能先将计算机TOM
从域中退出,然后设置计算机重定向到OUFBI
,再将计算机TOM
重新加入域才能实现TOM
在OUFBI
中。所以下面我使用本地管理员的方式来实现这一点,计算机重定向到指定OU我会在后面的(桌面云运维管理策略)中详细说明。
14.使用管理员账户登录senhao-tim
虚拟机,打开运行
,输入gpedit.msc
,打开组策略管理。(TOM本地的管理员账号可先通过原来的tom账户登录,然后在控制面板->账户管理登录域管理员账户
->添加一个域账户,设置为本地管理员类型,或者直接将账户Tom
设置为本地管理员类型即可。)
15.选择计算机配置
-> 管理模板...
-> 系统
-> 登录
->选择隐藏“快速用户切换”入口点
,右键 ->编辑
16.勾选已启用
选项,确定。
17.查看开始菜单中的电源选项,关机
、重启
、切换用户
等选项已经被删除或者不可用。
六、USB和智能卡设备重定向。
日常办公使用的时候,少不得要用到U盘,智能卡之类的USB设备,但是在云桌面上,我们是通过远程桌面协议去连接的云主机,用户能接触到的USB口都在云终端设备上面,那么怎么才能让云桌面的用户正常使用U盘呢?
设备和资源重定向:
1.选择计算机配置
-> 管理模板...
-> Windows组件
-> 远程桌面服务
->远程桌面会话主机
->设备和资源重定向
->将不允许受支持的即插即用设备重定向
和不允许智能卡设备设备重定向
设置为已禁用
。
2.管理员打开“运行”,输入gpupdate /force
强制更新组策略。
3.重启虚拟机,同步组策略即可在云终端上插入U盘和智能卡设备。
域控制器和组策略权限控制暂时就到这里了,其它还有很多的配置就不再一一介绍了。
桌面云系列文章
桌面云一(Hyper-V搭建云桌面虚拟机)
桌面云二(域控制器和组策略权限控制)
桌面云三(云桌面资源最佳配置和组策略应用分发)
桌面云四(桌面云运维管理策略)