一饱苟、Active Directory概述：

使用 Active Directory(R) 域服務 (AD DS) 服務器角色寄啼，可以創(chuàng)建用于用戶和資源管理的可伸縮孝偎、安全及可管理的基礎機構(gòu)栽连，并可以提供對啟用目錄的應用程序（如 Microsoft(R) Exchange Server）的支持翩伪。
AD DS 提供了一個分布式數(shù)據(jù)庫誉己，該數(shù)據(jù)庫可以存儲和管理有關(guān)網(wǎng)絡資源的信息眉尸，以及啟用了目錄的應用程序中特定于應用程序的數(shù)據(jù)。運行 AD DS 的服務器稱為域控制器巨双。管理員可以使用 AD DS 將網(wǎng)絡元素（如用戶噪猾、計算機和其他設備）整理到層次內(nèi)嵌結(jié)構(gòu)。內(nèi)嵌層次結(jié)構(gòu)包括 Active Directory 林筑累、林中的域以及每個域中的組織單位 (OU)袱蜡。

二、創(chuàng)建AD域控制器

創(chuàng)建域控制器需要一臺Windows server,為了將這臺服務器的功能純粹一點慢宗，所以我沒有直接將安裝了Hyper-V的物理服務器上面直接升級為域控制器坪蚁，我準備在Hyper-V上面再安裝一個windows server虛擬機作為域控制器。安裝過程比較簡單镜沽，系統(tǒng)依然是Windows server 2012此處就省略了...

1.新的虛擬機AD安裝完成完成,配置：4核CPU敏晤、4G內(nèi)存、200G硬盤

1-3

2.連接AD缅茉，使用管理員登錄進去嘴脾，將虛擬機的AD的計算機名改為AD，修改完成后重啟AD虛擬機蔬墩。

2-2

3.將AD的網(wǎng)絡連接改為靜態(tài)IP

3-2

4.服務器管理器->添加角色和功能

4-2

5.基于角色或基于功能的安裝

6-1

6.選擇本地服務器

7-2

7.勾選Active Directory域服務

8-1

9-1

8.功能默認選擇即可

10-1

9.勾選如果需要译打，自動重新啟動目標服務器

12-1

10.Active Directory域服務完成安裝，此時服務器管理的側(cè)欄上面會多出AD DS選項筹我。

13-1

11.選擇服務器任務詳細信息：部署后配置 -> 將此服務器提升為域控制器

14-1

12.選擇添加新林扶平，填寫根域名：ABC.COM，域名可自定義填寫蔬蕊，推薦的格式是xxx.COM

15-2

13.域控制選項：選項默認结澄，輸入目錄還原模式密碼

16-1

14.默認選擇下一步

17-1

15.其他選項

18-1

16.路徑：默認即可哥谷，下一步

19-1

17.查看選項：下一步檢查先決條件（新系統(tǒng)都沒有問題），進行安裝麻献。

20-1

21-1

18.安裝過程中會自動重啟

22-1

19.安裝完成后再登錄AD虛擬機（此時AD已經(jīng)為域控制器）们妥，將需要使用域管理員進行登錄。下面顯示的SENHAO就是域名勉吻，====后面是用戶名监婶，windows server 升級為域控制器后，將自動將默認的Administrator管理員用戶設置為域的管理員齿桃。

23-1

20.開始菜單中新增的關(guān)于域控制的應用：

組策略管理
Active Directory用戶和計算機
Active Directory域和信任關(guān)系
Active Directory站點和服務
ADSI編輯器

24-1

21.到這里惑惶，域控制就建立成功了，接下來短纵，我們將之前創(chuàng)建好的虛擬機加入到域中來带污。

三、在域控制器中添加賬戶和OU

1.打開Active Directory用戶和計算機

選擇域 右鍵 -> 新建 -> 組織單位

25-1

2.輸入OU名稱

26-1

3.選擇新建好的OU 右鍵 -> 新建 -> 用戶

27-1

4.輸入用戶名和登錄名香到，下一步

28-1

5.輸入用戶的密碼鱼冀，可選擇密碼和賬戶的設置方式和狀態(tài)夹囚。

29-1

6.用戶創(chuàng)建完成立宜，OU可以多個不同的用戶進行分組進行不同的組策略管理。

30-1

31-1

四随抠、將云桌面加入域控制器

1.使用Hyper-V連接虛擬機梗脾，打開我的電腦->屬性

32-2

2.算機名 -> 更改設置

33-2

3.更改計算機名為Tom,域名為前面創(chuàng)建的林senhao.com荸型，這個地方需要說一下，如果說讓你輸
入域名藐唠，文本框可以輸入小寫帆疟，那么你就輸入域名的小寫鹉究，比如我前面創(chuàng)建的senhao.com,如果文本框只能輸入大寫宇立，那么就輸入NetBios域名：SENHAO即可。

34-2

4.這個時候點確定會發(fā)現(xiàn)提示找不到域senhao.com,如果計算機需要加入域的話自赔，網(wǎng)絡連接需要的DNS需要填寫為域控制器的IP妈嘹，并且域控制器需要開啟DNS服務器才能被被解析。

35-1

5.進入域控制器AD->服務器管理器->添加角色和功能->基于角色或基于功能的安裝->選擇本地服務器->勾選DNS服務器->安裝（步驟和前面添加Active Directory域服務一樣绍妨，所以這里就不再截圖了）

6.將Tom虛擬機的網(wǎng)絡連接中的DNS服務器更改為域控制器IP192.168.1.81并確定润脸。

36-1

7.繼續(xù)前面更改計算機名和加入域，這時候會提示要求輸入有權(quán)限加入該域的賬戶的名稱和密碼

37-1

8.輸入前面在域控制器中創(chuàng)建的FBIOU中的用戶TOM的用戶登錄名和密碼他去。

38-1

9.加入域成功毙驯。

39-1

10.重啟計算機。

40-1

11.使用域賬戶Tom登錄Tom虛擬機灾测。

41-2

12.查看計算機所在的域和當前登錄用戶爆价。

42-1

13.在AD中打開Active Directory用戶和計算機，在Computers里面已經(jīng)多出一個名為Tom的計算機了。

43

五铭段、組策略禁用開始菜單關(guān)機骤宣、重啟、切換用戶等選項

云桌面的虛擬機加入域中之后序愚，我們希望能夠?qū)τ脩暨M行更好的控制憔披，并且禁用掉例如：關(guān)機、重啟爸吮、切換用戶等權(quán)限芬膝，我們可以使用組策略來實現(xiàn)這一點。

1.打開組策略管理形娇，選擇之前創(chuàng)建好的OUFBI蔗候，右鍵->在這個域中創(chuàng)建GPO并在此處鏈接

44

2.輸入GPO名稱：權(quán)限管理

45

3.選擇權(quán)限管理GPO，右鍵->編輯埂软，打開組策略管理編輯器

46

47

4.選擇用戶配置 -> 管理模板... -> 開始菜單和任務欄 ->選擇刪除并阻止訪問“關(guān)機”锈遥、“重新啟動”、“睡眠”和“休眠”命令勘畔，右鍵 ->編輯

48

49

5.勾選已啟用選項所灸，確定。

50

6.選擇計算機配置 -> 管理模板... -> 系統(tǒng) -> 登錄 ->選擇隱藏“快速用戶切換”入口點炫七，右鍵 ->編輯

53

7.勾選已啟用選項爬立，確定。

54

8.選擇權(quán)限管理GPO万哪，右鍵->強制

55

9.管理員打開“運行”侠驯，輸入gpupdate /force強制更新組策略,注意/前面有一個空格。

51

52

10.重啟senhao-tim虛擬機奕巍，再使用Tom域用戶登錄吟策。

57

11.次數(shù)查看，關(guān)機的止、重啟選項已經(jīng)沒有了檩坚，但是切換用戶依然存在，前面切換用戶選項的配置是在OU的計算機配置中設置的诅福，然而這個時候卻并沒有使虛擬機生效匾委。

59

12.原因如下圖，OU的GPO中存在著計算機配置和用戶配置兩種類型氓润，用戶配置會對OU中的所有用戶生效赂乐，生效的時間為用戶下一次重新登錄的時候。也就是說咖气，無論OU用戶登錄到哪一臺虛擬機挨措，都會使用OU的GPO對應的用戶配置辐啄，這是一個面向的用戶配置策略；計算機配置會對這個OU中的所有計算機生效运嗜，生效需要OU中計算機重啟壶辜，也就是說OU中的計算機生效了GPO的計算機配置后，無論什么用戶登錄這臺計算機担租，都會使用OU的GPO對應的計算機配置砸民，這是一個面向計算機的配置策略。前面的計算機配置中設置的奋救，但是我們設置的OUFBI中沒有計算機Tom岭参，而我們登錄的TOM計算機在OUComputers中，所以這才會導致計算機的配置無法在計算機TOM中生效尝艘。

60

13.知道了原因之后演侯，我們就可以來解決這個問題了，解決辦法有兩個：一背亥、使用TOM計算機的本地管理員賬號登錄TOM計算機秒际，然后在TOM計算機本地的組策略管理，將計算機配置中的隱藏“快速用戶切換”入口點啟用狡汉，這個方法使用更改計算機本地的策略組配置來實現(xiàn)目的娄徊，簡單粗暴，但不利于域控制器使用組策略統(tǒng)一管控盾戴；二寄锐、將計算機TOM加入到OUFBI中，TOM重啟后自動同步OU的組策略尖啡，實現(xiàn)目的橄仆，這是看起來最簡單的，然而現(xiàn)在并不能那么容易實現(xiàn)衅斩，因為計算機在加入域之后盆顾，是無法移動到其它OU中去的，只能先將計算機TOM從域中退出矛渴，然后設置計算機重定向到OUFBI椎扬，再將計算機TOM重新加入域才能實現(xiàn)TOM在OUFBI中。所以下面我使用本地管理員的方式來實現(xiàn)這一點具温，計算機重定向到指定OU我會在后面的（桌面云運維管理策略）中詳細說明。

14.使用管理員賬戶登錄senhao-tim虛擬機筐赔，打開運行铣猩，輸入gpedit.msc,打開組策略管理。（TOM本地的管理員賬號可先通過原來的tom賬戶登錄茴丰，然后在控制面板->賬戶管理登錄域管理員賬戶->添加一個域賬戶达皿，設置為本地管理員類型天吓，或者直接將賬戶Tom設置為本地管理員類型即可。）

56

15.選擇計算機配置 -> 管理模板... -> 系統(tǒng) -> 登錄 ->選擇隱藏“快速用戶切換”入口點峦椰，右鍵 ->編輯

53

16.勾選已啟用選項龄寞，確定。

54

17.查看開始菜單中的電源選項汤功，關(guān)機物邑、重啟、切換用戶等選項已經(jīng)被刪除或者不可用滔金。

58

六色解、USB和智能卡設備重定向。

日常辦公使用的時候餐茵，少不得要用到U盤科阎，智能卡之類的USB設備，但是在云桌面上忿族，我們是通過遠程桌面協(xié)議去連接的云主機锣笨，用戶能接觸到的USB口都在云終端設備上面，那么怎么才能讓云桌面的用戶正常使用U盤呢道批？

設備和資源重定向：

1.選擇計算機配置 -> 管理模板... -> Windows組件 -> 遠程桌面服務 ->遠程桌面會話主機 ->設備和資源重定向 ->將不允許受支持的即插即用設備重定向和不允許智能卡設備設備重定向設置為已禁用票唆。

61

2.管理員打開“運行”，輸入gpupdate /force強制更新組策略屹徘。

51

52

3.重啟虛擬機走趋，同步組策略即可在云終端上插入U盤和智能卡設備。

域控制器和組策略權(quán)限控制暫時就到這里了噪伊，其它還有很多的配置就不再一一介紹了簿煌。

桌面云系列文章

桌面云一（Hyper-V搭建云桌面虛擬機）
桌面云二（域控制器和組策略權(quán)限控制）
桌面云三（云桌面資源最佳配置和組策略應用分發(fā)）
桌面云四（桌面云運維管理策略）