桌面云二(域控制器和组策略权限控制)

一、Active Directory概述:

使用 Active Directory(R) 域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构,并可以提供对启用目录的应用程序(如 Microsoft(R) Exchange Server)的支持。
AD DS 提供了一个分布式数据库,该数据库可以存储和管理有关网络资源的信息,以及启用了目录的应用程序中特定于应用程序的数据。运行 AD DS 的服务器称为域控制器。管理员可以使用 AD DS 将网络元素(如用户、计算机和其他设备)整理到层次内嵌结构。内嵌层次结构包括 Active Directory 林、林中的域以及每个域中的组织单位 (OU)。

二、创建AD域控制器

创建域控制器需要一台Windows server,为了将这台服务器的功能纯粹一点,所以我没有直接将安装了Hyper-V的物理服务器上面直接升级为域控制器,我准备在Hyper-V上面再安装一个windows server虚拟机作为域控制器。安装过程比较简单,系统依然是Windows server 2012此处就省略了...

1.新的虚拟机AD安装完成完成,配置:4核CPU、4G内存、200G硬盘

桌面云二(域控制器和组策略权限控制)_第1张图片
1-3

2.连接AD,使用管理员登录进去,将虚拟机的AD的计算机名改为AD,修改完成后重启AD虚拟机。

桌面云二(域控制器和组策略权限控制)_第2张图片
2-2

3.将AD的网络连接改为静态IP

桌面云二(域控制器和组策略权限控制)_第3张图片
3-2

4.服务器管理器->添加角色和功能

桌面云二(域控制器和组策略权限控制)_第4张图片
4-2

5.基于角色或基于功能的安装

桌面云二(域控制器和组策略权限控制)_第5张图片
6-1

6.选择本地服务器

桌面云二(域控制器和组策略权限控制)_第6张图片
7-2

7.勾选Active Directory域服务

桌面云二(域控制器和组策略权限控制)_第7张图片
8-1
桌面云二(域控制器和组策略权限控制)_第8张图片
9-1

8.功能默认选择即可

桌面云二(域控制器和组策略权限控制)_第9张图片
10-1

9.勾选如果需要,自动重新启动目标服务器

桌面云二(域控制器和组策略权限控制)_第10张图片
12-1

10.Active Directory域服务完成安装,此时服务器管理的侧栏上面会多出AD DS选项。

桌面云二(域控制器和组策略权限控制)_第11张图片
13-1

11.选择服务器任务详细信息:部署后配置 -> 将此服务器提升为域控制器

桌面云二(域控制器和组策略权限控制)_第12张图片
14-1

12.选择添加新林,填写根域名:ABC.COM,域名可自定义填写,推荐的格式是xxx.COM

桌面云二(域控制器和组策略权限控制)_第13张图片
15-2

13.域控制选项:选项默认,输入目录还原模式密码

桌面云二(域控制器和组策略权限控制)_第14张图片
16-1

14.默认选择下一步

桌面云二(域控制器和组策略权限控制)_第15张图片
17-1

15.其他选项

桌面云二(域控制器和组策略权限控制)_第16张图片
18-1

16.路径:默认即可,下一步

桌面云二(域控制器和组策略权限控制)_第17张图片
19-1

17.查看选项:下一步检查先决条件(新系统都没有问题),进行安装。

桌面云二(域控制器和组策略权限控制)_第18张图片
20-1
桌面云二(域控制器和组策略权限控制)_第19张图片
21-1

18.安装过程中会自动重启

桌面云二(域控制器和组策略权限控制)_第20张图片
22-1

19.安装完成后再登录AD虚拟机(此时AD已经为域控制器),将需要使用域管理员进行登录。下面显示的SENHAO就是域名,====后面是用户名,windows server 升级为域控制器后,将自动将默认的Administrator管理员用户设置为域的管理员。

桌面云二(域控制器和组策略权限控制)_第21张图片
23-1

20.开始菜单中新增的关于域控制的应用:

组策略管理
Active Directory用户和计算机
Active Directory域和信任关系
Active Directory站点和服务
ADSI编辑器

桌面云二(域控制器和组策略权限控制)_第22张图片
24-1

21.到这里,域控制就建立成功了,接下来,我们将之前创建好的虚拟机加入到域中来。

三、在域控制器中添加账户和OU

1.打开Active Directory用户和计算机

选择域 右键 -> 新建 -> 组织单位

桌面云二(域控制器和组策略权限控制)_第23张图片
25-1

2.输入OU名称

桌面云二(域控制器和组策略权限控制)_第24张图片
26-1

3.选择新建好的OU 右键 -> 新建 -> 用户

桌面云二(域控制器和组策略权限控制)_第25张图片
27-1

4.输入用户名和登录名,下一步

桌面云二(域控制器和组策略权限控制)_第26张图片
28-1

5.输入用户的密码,可选择密码和账户的设置方式和状态。

桌面云二(域控制器和组策略权限控制)_第27张图片
29-1

6.用户创建完成,OU可以多个不同的用户进行分组进行不同的组策略管理。

桌面云二(域控制器和组策略权限控制)_第28张图片
30-1
桌面云二(域控制器和组策略权限控制)_第29张图片
31-1

四、将云桌面加入域控制器

1.使用Hyper-V连接虚拟机,打开我的电脑->属性

桌面云二(域控制器和组策略权限控制)_第30张图片
32-2

2.算机名 -> 更改设置

桌面云二(域控制器和组策略权限控制)_第31张图片
33-2

3.更改计算机名为Tom,域名为前面创建的林senhao.com,这个地方需要说一下,如果说让你输
入域名,文本框可以输入小写,那么你就输入域名的小写,比如我前面创建的senhao.com,如果文本框只能输入大写,那么就输入NetBios域名:SENHAO即可。

桌面云二(域控制器和组策略权限控制)_第32张图片
34-2

4.这个时候点确定会发现提示找不到域senhao.com,如果计算机需要加入域的话,网络连接需要的DNS需要填写为域控制器的IP,并且域控制器需要开启DNS服务器才能被被解析。

桌面云二(域控制器和组策略权限控制)_第33张图片
35-1

5.进入域控制器AD->服务器管理器->添加角色和功能->基于角色或基于功能的安装->选择本地服务器->勾选DNS服务器->安装(步骤和前面添加Active Directory域服务一样,所以这里就不再截图了)

6.将Tom虚拟机的网络连接中的DNS服务器更改为域控制器IP192.168.1.81并确定。

桌面云二(域控制器和组策略权限控制)_第34张图片
36-1

7.继续前面更改计算机名和加入域,这时候会提示要求输入有权限加入该域的账户的名称和密码

桌面云二(域控制器和组策略权限控制)_第35张图片
37-1

8.输入前面在域控制器中创建的FBIOU中的用户TOM的用户登录名和密码。

桌面云二(域控制器和组策略权限控制)_第36张图片
38-1

9.加入域成功。

桌面云二(域控制器和组策略权限控制)_第37张图片
39-1

10.重启计算机。

桌面云二(域控制器和组策略权限控制)_第38张图片
40-1

11.使用域账户Tom登录Tom虚拟机。

桌面云二(域控制器和组策略权限控制)_第39张图片
41-2

12.查看计算机所在的域和当前登录用户。

桌面云二(域控制器和组策略权限控制)_第40张图片
42-1

13.在AD中打开Active Directory用户和计算机,在Computers里面已经多出一个名为Tom的计算机了。

桌面云二(域控制器和组策略权限控制)_第41张图片
43

五、组策略禁用开始菜单关机重启切换用户等选项

云桌面的虚拟机加入域中之后,我们希望能够对用户进行更好的控制,并且禁用掉例如:关机重启切换用户等权限,我们可以使用组策略来实现这一点。

1.打开组策略管理,选择之前创建好的OUFBI右键->在这个域中创建GPO并在此处链接

桌面云二(域控制器和组策略权限控制)_第42张图片
44

2.输入GPO名称:权限管理

桌面云二(域控制器和组策略权限控制)_第43张图片
45

3.选择权限管理GPO,右键->编辑,打开组策略管理编辑器

桌面云二(域控制器和组策略权限控制)_第44张图片
46
桌面云二(域控制器和组策略权限控制)_第45张图片
47

4.选择用户配置 -> 管理模板... -> 开始菜单和任务栏 ->选择删除并阻止访问“关机”、“重新启动”、“睡眠”和“休眠”命令,右键 ->编辑

桌面云二(域控制器和组策略权限控制)_第46张图片
48
桌面云二(域控制器和组策略权限控制)_第47张图片
49

5.勾选已启用选项,确定。

桌面云二(域控制器和组策略权限控制)_第48张图片
50

6.选择计算机配置 -> 管理模板... -> 系统 -> 登录 ->选择隐藏“快速用户切换”入口点,右键 ->编辑

桌面云二(域控制器和组策略权限控制)_第49张图片
53

7.勾选已启用选项,确定。

桌面云二(域控制器和组策略权限控制)_第50张图片
54

8.选择权限管理GPO,右键->强制

桌面云二(域控制器和组策略权限控制)_第51张图片
55

9.管理员打开“运行”,输入gpupdate /force强制更新组策略,注意/前面有一个空格。

桌面云二(域控制器和组策略权限控制)_第52张图片
51
桌面云二(域控制器和组策略权限控制)_第53张图片
52

10.重启senhao-tim虚拟机,再使用Tom域用户登录。

桌面云二(域控制器和组策略权限控制)_第54张图片
57

11.次数查看,关机重启选项已经没有了,但是切换用户依然存在,前面切换用户选项的配置是在OU的计算机配置中设置的,然而这个时候却并没有使虚拟机生效。

桌面云二(域控制器和组策略权限控制)_第55张图片
59

12.原因如下图,OUGPO中存在着计算机配置用户配置两种类型,用户配置会对OU中的所有用户生效,生效的时间为用户下一次重新登录的时候。也就是说,无论OU用户登录到哪一台虚拟机,都会使用OU的GPO对应的用户配置,这是一个面向的用户配置策略;计算机配置会对这个OU中的所有计算机生效,生效需要OU中计算机重启,也就是说OU中的计算机生效了GPO的计算机配置后,无论什么用户登录这台计算机,都会使用OU的GPO对应的计算机配置,这是一个面向计算机的配置策略。前面的计算机配置中设置的,但是我们设置的OUFBI中没有计算机Tom,而我们登录的TOM计算机在OUComputers中,所以这才会导致计算机的配置无法在计算机TOM中生效。

桌面云二(域控制器和组策略权限控制)_第56张图片
60

13.知道了原因之后,我们就可以来解决这个问题了,解决办法有两个:一、使用TOM计算机的本地管理员账号登录TOM计算机,然后在TOM计算机本地的组策略管理,将计算机配置中的隐藏“快速用户切换”入口点启用,这个方法使用更改计算机本地的策略组配置来实现目的,简单粗暴,但不利于域控制器使用组策略统一管控;二、将计算机TOM加入到OUFBI中,TOM重启后自动同步OU的组策略,实现目的,这是看起来最简单的,然而现在并不能那么容易实现,因为计算机在加入域之后,是无法移动到其它OU中去的,只能先将计算机TOM从域中退出,然后设置计算机重定向到OUFBI,再将计算机TOM重新加入域才能实现TOM在OUFBI中。所以下面我使用本地管理员的方式来实现这一点,计算机重定向到指定OU我会在后面的(桌面云运维管理策略)中详细说明。

14.使用管理员账户登录senhao-tim虚拟机,打开运行,输入gpedit.msc,打开组策略管理。(TOM本地的管理员账号可先通过原来的tom账户登录,然后在控制面板->账户管理登录域管理员账户->添加一个域账户,设置为本地管理员类型,或者直接将账户Tom设置为本地管理员类型即可。)

桌面云二(域控制器和组策略权限控制)_第57张图片
56

15.选择计算机配置 -> 管理模板... -> 系统 -> 登录 ->选择隐藏“快速用户切换”入口点,右键 ->编辑

桌面云二(域控制器和组策略权限控制)_第58张图片
53

16.勾选已启用选项,确定。

桌面云二(域控制器和组策略权限控制)_第59张图片
54

17.查看开始菜单中的电源选项,关机重启切换用户等选项已经被删除或者不可用。

桌面云二(域控制器和组策略权限控制)_第60张图片
58

六、USB和智能卡设备重定向。

日常办公使用的时候,少不得要用到U盘,智能卡之类的USB设备,但是在云桌面上,我们是通过远程桌面协议去连接的云主机,用户能接触到的USB口都在云终端设备上面,那么怎么才能让云桌面的用户正常使用U盘呢?

设备和资源重定向:

1.选择计算机配置 -> 管理模板... -> Windows组件 -> 远程桌面服务 ->远程桌面会话主机 ->设备和资源重定向 ->将不允许受支持的即插即用设备重定向不允许智能卡设备设备重定向设置为已禁用

桌面云二(域控制器和组策略权限控制)_第61张图片
61

2.管理员打开“运行”,输入gpupdate /force强制更新组策略。

桌面云二(域控制器和组策略权限控制)_第62张图片
51
桌面云二(域控制器和组策略权限控制)_第63张图片
52

3.重启虚拟机,同步组策略即可在云终端上插入U盘和智能卡设备。

域控制器和组策略权限控制暂时就到这里了,其它还有很多的配置就不再一一介绍了。

桌面云系列文章

桌面云一(Hyper-V搭建云桌面虚拟机)
桌面云二(域控制器和组策略权限控制)
桌面云三(云桌面资源最佳配置和组策略应用分发)
桌面云四(桌面云运维管理策略)

你可能感兴趣的:(桌面云二(域控制器和组策略权限控制))