VDI序曲二 RemotoAPP晋级篇
之前我们把RemotoAPP环境搭建出来了
但我们有些需求上的疑问和想法,在这我会给大家分享下:
1.IE的警告提示怎么搞定?
不想开此打开我们的虚拟接入平台都显示这样不友好的红叉解决办法很简单:
我们到WIN-RDWA服务器上的命令提示行运行MMC,添加本计算机帐户证书
把这里的WIN-RDWA证书导出,然后把这个导出的证书复制到客户端按照上面的方法打开客户端的本地计算机帐户证书,把这个证书导入到“受信任的根证书颁发机构”里
这样就解决红叉问题了。
2.RemotoAPP是否可以对发布的每个应用程序做对用户的权限使用划分?落实到每个用户有不同的使用权限?换句话说就是每个用户登陆进来看到自己能使用的应用程序不一样?答案是肯定可以的
比如我们在AD里创建2个用户user2,和user3,我们这2个用户加入到ms_remotoapp_users组里(请查看我之前写的“VDI序曲二 RemotoAPP部署”)
我们设定一个场景,USER2登陆进虚拟化接入平台看不到EXCEL,USER3登陆进虚拟化接入平台看不到WORD!
我们在WIN-RDAPP服务器上打开remotoapp管理器
选择我们刚才发布出去的WORD右键属性
默认是让所有进过身份验证的域用户使用
下面我们选择“指定域成员和域组”
添加USER2
确定,OK
我们再选择EXCEL
把USER3添加进去
OK,完成,我们用USER2登陆测试下:
我们看到USER2登陆进来少了EXCEL,为什么我们会看到WORD以外除EXCEL的其他应用程序呢?因为其他应用程序我们未做修改,这些应用程序是只要验证通过的用户都可以看到和使用。
我们来打开WORD和PPT看看:
PPT没问题
WORD也没问题
那么USER3也一样的,看不到WORD
所以我们的应用程序可以做到对用户和组的细致权限划分,具体情况根据你的需求来定,当然我们也可以做得更方便简单点,就是做组嵌套的方式,我们只需要在AD上把用户加入到相应的组就可以不用到APP服务器上做设置就可以达到想要的个性应用程序分配。
3.IT管理员说,我不准使用remotoapp程序的用户把资料存放在本地,这样好不安全哦,容易泄密,怎么办?
我们在WIN-RDAPP上打开“远程桌面会话主机配置”
选择RDP-TCP属性
在这可以勾选禁用那些设备的映射(重定向)
这样就达到IT的统一管理了
下面介绍点桌面虚拟化和RemotoAPP都适用的高级应用方案:
3.用户使用REMOTOAPP应用程序(办公类)每次存在服务器上,那假如用户不用这个remotoapp应用程序,那用户的文档到哪找呢?
我们可以做个文档的漫游
我们可以利用文件服务器或者存储来实现,我这里不做复杂了,就在CB服务器上做个共享文件夹吧:
在D盘,我新建文件夹USERS并开启共享允许EVERYONE完全控制权限
这里我选择的高级共享,并在共享名后加上$符号,加上这样的符号的意思在于一般用户不会看到这个共享文件夹,这样属于隐藏共享,安全性好
接着我们到AD服务器上
打开AD用户和计算机管理:
我们的USER1-3都在Microsft_VDI下的USERS的OU里
我们再打开组策略管理:
在Microsft_VDI下的USERS的OU里创建新的组策略来设置
我们再编辑此新建的组策略
我们设置文档的漫游
我们再设置使用XP的用户也可以得到漫游
同理,我们可以设置桌面的漫游
注意:收藏夹对XP无法漫游,因为不支持。
这样设置的原理是把用户的文档存放位置从本地转移到服务器上的共享文件夹下,但共享文件夹下会根据用户名创建各自的用户名文件夹以存放各自用户的文件和资料,独占切安全,不会A用户打开B用户的文档资料。因为我们上面设置了“授予用户对文档的独占权限”
这样我们的用户无论使用remotoapp保存的文档到域内的任何的客户端登陆他的文档,桌面都会得到漫游一样的效果。这样做的另一个好处就是用户的文档资料都在服务器集中存放,方便管理。
有些人会疑问,为什么我这样做了用户没漫游呢?原因很简单,看上面,我们是对Microsft_VDI下的USERS的OU里用户做的策略,所以此策略只对这个OU下的用户生效。
4.用户假设不存放在文档里,喜欢存放在D盘或者其他盘符怎么办?
方法类似,也是做漫游,不过是做磁盘挂载漫游
同样我们可以利用文件服务器或者存储来实现,我这里不做复杂了,就在CB服务器上做个共享文件夹吧:
在D盘,我新建文件夹DISK并开启共享允许EVERYONE完全控制权限
再次回到AD服务器上,打开AD用户和计算机
选择USER1的用户属性
我们设置一个主文件夹,这个主文件夹会自动连接到用户登陆的所在的域内计算机里,自动挂载一个N盘(这是我自己定义的)
这个N盘会随用户走,自动漫游,用户注销,那自然这个N盘就没有了,但资料没掉,依然在服务器上,下次此用户再换到另一台域内计算机登陆,那么又会自动挂载这个N盘,资料就出来,也可以理解为系统自己多了1个磁盘分区,不过这个磁盘分区是随用户漫游的,独占切独立。
如果我们再结合文件服务器的DFS使用可以更好的配置用户的网络漫游磁盘大小和只允许存放那些文件,可以做策略,比如不能存放视频文件等,当网络漫游磁盘快满时配合exchange服务器自动发警报给当前用户告诉他磁盘容量快满,请清理等。
5.用户会疑问,那每次我登陆到不同的电脑,我习惯设计自己的桌面风格,比如桌面壁纸喜欢什么图,换了电脑或者进入另一个虚拟桌面,那我的桌面壁纸和一些个性化的桌面设置是否就没了,要重新设置呢?
同样,我们再把用户的配置文件漫游吧。方法和4介绍的类似
我们可以看到默认我们的用户配置文件是在本地
那么我们把配置文件存放在服务器上那就更好了,这样就可以漫游了
同样我们可以利用文件服务器或者存储来实现,我这里不做复杂了,就在CB服务器上做个共享文件夹吧:
在D盘,我新建文件夹profiles并开启共享允许EVERYONE完全控制权限
再次回到AD服务器上,打开AD用户和计算机
选择USER1的用户属性
这样设置以后我们用户无论在域内什么客户端上登陆,虚拟桌面也好,都会进行漫游,因为他的配置文件就在服务器上。
IT员又不爽了,那我用户1000个或者更多,难道我要一个一个设置吗?
当然不用,我们在组策略里做就可以了
“计算机配置-管理模板-系统-用户配置文件”见下图:
根据提示启用后填写网络路径:
这样就可以了,当然您的存储空间要足够!
目录 返回
首页