一、Active Directory概述：

使用 Active Directory(R) 域服務(wù) (AD DS) 服務(wù)器角色，可以創(chuàng)建用于用戶和資源管理的可伸縮、安全及可管理的基礎(chǔ)機(jī)構(gòu)，并可以提供對(duì)啟用目錄的應(yīng)用程序（如 Microsoft(R) Exchange Server）的支持。
AD DS 提供了一個(gè)分布式數(shù)據(jù)庫(kù)，該數(shù)據(jù)庫(kù)可以存儲(chǔ)和管理有關(guān)網(wǎng)絡(luò)資源的信息，以及啟用了目錄的應(yīng)用程序中特定于應(yīng)用程序的數(shù)據(jù)。運(yùn)行 AD DS 的服務(wù)器稱為域控制器。管理員可以使用 AD DS 將網(wǎng)絡(luò)元素（如用戶、計(jì)算機(jī)和其他設(shè)備）整理到層次內(nèi)嵌結(jié)構(gòu)。內(nèi)嵌層次結(jié)構(gòu)包括 Active Directory 林、林中的域以及每個(gè)域中的組織單位 (OU)。

二、創(chuàng)建AD域控制器

創(chuàng)建域控制器需要一臺(tái)Windows server,為了將這臺(tái)服務(wù)器的功能純粹一點(diǎn)，所以我沒有直接將安裝了Hyper-V的物理服務(wù)器上面直接升級(jí)為域控制器，我準(zhǔn)備在Hyper-V上面再安裝一個(gè)windows server虛擬機(jī)作為域控制器。安裝過程比較簡(jiǎn)單，系統(tǒng)依然是Windows server 2012此處就省略了...

1.新的虛擬機(jī)AD安裝完成完成,配置：4核CPU、4G內(nèi)存、200G硬盤

1-3

2.連接AD，使用管理員登錄進(jìn)去，將虛擬機(jī)的AD的計(jì)算機(jī)名改為AD，修改完成后重啟AD虛擬機(jī)。

2-2

3.將AD的網(wǎng)絡(luò)連接改為靜態(tài)IP

3-2

4.服務(wù)器管理器->添加角色和功能

4-2

5.基于角色或基于功能的安裝

6-1

6.選擇本地服務(wù)器

7-2

7.勾選Active Directory域服務(wù)

8-1

9-1

8.功能默認(rèn)選擇即可

10-1

9.勾選如果需要，自動(dòng)重新啟動(dòng)目標(biāo)服務(wù)器

12-1

10.Active Directory域服務(wù)完成安裝，此時(shí)服務(wù)器管理的側(cè)欄上面會(huì)多出AD DS選項(xiàng)。

13-1

11.選擇服務(wù)器任務(wù)詳細(xì)信息：部署后配置 -> 將此服務(wù)器提升為域控制器

14-1

12.選擇添加新林，填寫根域名：ABC.COM，域名可自定義填寫，推薦的格式是xxx.COM

15-2

13.域控制選項(xiàng)：選項(xiàng)默認(rèn)，輸入目錄還原模式密碼

16-1

14.默認(rèn)選擇下一步

17-1

15.其他選項(xiàng)

18-1

16.路徑：默認(rèn)即可，下一步

19-1

17.查看選項(xiàng)：下一步檢查先決條件（新系統(tǒng)都沒有問題），進(jìn)行安裝。

20-1

21-1

18.安裝過程中會(huì)自動(dòng)重啟

22-1

19.安裝完成后再登錄AD虛擬機(jī)（此時(shí)AD已經(jīng)為域控制器），將需要使用域管理員進(jìn)行登錄。下面顯示的SENHAO就是域名，====后面是用戶名，windows server 升級(jí)為域控制器后，將自動(dòng)將默認(rèn)的Administrator管理員用戶設(shè)置為域的管理員。

23-1

20.開始菜單中新增的關(guān)于域控制的應(yīng)用：

組策略管理
Active Directory用戶和計(jì)算機(jī)
Active Directory域和信任關(guān)系
Active Directory站點(diǎn)和服務(wù)
ADSI編輯器

24-1

21.到這里，域控制就建立成功了，接下來，我們將之前創(chuàng)建好的虛擬機(jī)加入到域中來。

三、在域控制器中添加賬戶和OU

1.打開Active Directory用戶和計(jì)算機(jī)

選擇域 右鍵 -> 新建 -> 組織單位

25-1

2.輸入OU名稱

26-1

3.選擇新建好的OU 右鍵 -> 新建 -> 用戶

27-1

4.輸入用戶名和登錄名，下一步

28-1

5.輸入用戶的密碼，可選擇密碼和賬戶的設(shè)置方式和狀態(tài)。

29-1

6.用戶創(chuàng)建完成，OU可以多個(gè)不同的用戶進(jìn)行分組進(jìn)行不同的組策略管理。

30-1

31-1

四、將云桌面加入域控制器

1.使用Hyper-V連接虛擬機(jī)，打開我的電腦->屬性

32-2

2.算機(jī)名 -> 更改設(shè)置

33-2

3.更改計(jì)算機(jī)名為Tom,域名為前面創(chuàng)建的林senhao.com，這個(gè)地方需要說一下，如果說讓你輸
入域名，文本框可以輸入小寫，那么你就輸入域名的小寫，比如我前面創(chuàng)建的senhao.com,如果文本框只能輸入大寫，那么就輸入NetBios域名：SENHAO即可。

34-2

4.這個(gè)時(shí)候點(diǎn)確定會(huì)發(fā)現(xiàn)提示找不到域senhao.com,如果計(jì)算機(jī)需要加入域的話，網(wǎng)絡(luò)連接需要的DNS需要填寫為域控制器的IP，并且域控制器需要開啟DNS服務(wù)器才能被被解析。

35-1

5.進(jìn)入域控制器AD->服務(wù)器管理器->添加角色和功能->基于角色或基于功能的安裝->選擇本地服務(wù)器->勾選DNS服務(wù)器->安裝（步驟和前面添加Active Directory域服務(wù)一樣，所以這里就不再截圖了）

6.將Tom虛擬機(jī)的網(wǎng)絡(luò)連接中的DNS服務(wù)器更改為域控制器IP192.168.1.81并確定。

36-1

7.繼續(xù)前面更改計(jì)算機(jī)名和加入域，這時(shí)候會(huì)提示要求輸入有權(quán)限加入該域的賬戶的名稱和密碼

37-1

8.輸入前面在域控制器中創(chuàng)建的FBIOU中的用戶TOM的用戶登錄名和密碼。

38-1

9.加入域成功。

39-1

10.重啟計(jì)算機(jī)。

40-1

11.使用域賬戶Tom登錄Tom虛擬機(jī)。

41-2

12.查看計(jì)算機(jī)所在的域和當(dāng)前登錄用戶。

42-1

13.在AD中打開Active Directory用戶和計(jì)算機(jī)，在Computers里面已經(jīng)多出一個(gè)名為Tom的計(jì)算機(jī)了。

43

五、組策略禁用開始菜單關(guān)機(jī)、重啟、切換用戶等選項(xiàng)

云桌面的虛擬機(jī)加入域中之后，我們希望能夠?qū)τ脩暨M(jìn)行更好的控制，并且禁用掉例如：關(guān)機(jī)、重啟、切換用戶等權(quán)限，我們可以使用組策略來實(shí)現(xiàn)這一點(diǎn)。

1.打開組策略管理，選擇之前創(chuàng)建好的OUFBI，右鍵->在這個(gè)域中創(chuàng)建GPO并在此處鏈接

44

2.輸入GPO名稱：權(quán)限管理

45

3.選擇權(quán)限管理GPO，右鍵->編輯，打開組策略管理編輯器

46

47

4.選擇用戶配置 -> 管理模板... -> 開始菜單和任務(wù)欄 ->選擇刪除并阻止訪問“關(guān)機(jī)”、“重新啟動(dòng)”、“睡眠”和“休眠”命令，右鍵 ->編輯

48

49

5.勾選已啟用選項(xiàng)，確定。

50

6.選擇計(jì)算機(jī)配置 -> 管理模板... -> 系統(tǒng) -> 登錄 ->選擇隱藏“快速用戶切換”入口點(diǎn)，右鍵 ->編輯

53

7.勾選已啟用選項(xiàng)，確定。

54

8.選擇權(quán)限管理GPO，右鍵->強(qiáng)制

55

9.管理員打開“運(yùn)行”，輸入gpupdate /force強(qiáng)制更新組策略,注意/前面有一個(gè)空格。

51

52

10.重啟senhao-tim虛擬機(jī)，再使用Tom域用戶登錄。

57

11.次數(shù)查看，關(guān)機(jī)、重啟選項(xiàng)已經(jīng)沒有了，但是切換用戶依然存在，前面切換用戶選項(xiàng)的配置是在OU的計(jì)算機(jī)配置中設(shè)置的，然而這個(gè)時(shí)候卻并沒有使虛擬機(jī)生效。

59

12.原因如下圖，OU的GPO中存在著計(jì)算機(jī)配置和用戶配置兩種類型，用戶配置會(huì)對(duì)OU中的所有用戶生效，生效的時(shí)間為用戶下一次重新登錄的時(shí)候。也就是說，無論OU用戶登錄到哪一臺(tái)虛擬機(jī)，都會(huì)使用OU的GPO對(duì)應(yīng)的用戶配置，這是一個(gè)面向的用戶配置策略；計(jì)算機(jī)配置會(huì)對(duì)這個(gè)OU中的所有計(jì)算機(jī)生效，生效需要OU中計(jì)算機(jī)重啟，也就是說OU中的計(jì)算機(jī)生效了GPO的計(jì)算機(jī)配置后，無論什么用戶登錄這臺(tái)計(jì)算機(jī)，都會(huì)使用OU的GPO對(duì)應(yīng)的計(jì)算機(jī)配置，這是一個(gè)面向計(jì)算機(jī)的配置策略。前面的計(jì)算機(jī)配置中設(shè)置的，但是我們?cè)O(shè)置的OUFBI中沒有計(jì)算機(jī)Tom，而我們登錄的TOM計(jì)算機(jī)在OUComputers中，所以這才會(huì)導(dǎo)致計(jì)算機(jī)的配置無法在計(jì)算機(jī)TOM中生效。

60

13.知道了原因之后，我們就可以來解決這個(gè)問題了，解決辦法有兩個(gè)：一、使用TOM計(jì)算機(jī)的本地管理員賬號(hào)登錄TOM計(jì)算機(jī)，然后在TOM計(jì)算機(jī)本地的組策略管理，將計(jì)算機(jī)配置中的隱藏“快速用戶切換”入口點(diǎn)啟用，這個(gè)方法使用更改計(jì)算機(jī)本地的策略組配置來實(shí)現(xiàn)目的，簡(jiǎn)單粗暴，但不利于域控制器使用組策略統(tǒng)一管控；二、將計(jì)算機(jī)TOM加入到OUFBI中，TOM重啟后自動(dòng)同步OU的組策略，實(shí)現(xiàn)目的，這是看起來最簡(jiǎn)單的，然而現(xiàn)在并不能那么容易實(shí)現(xiàn)，因?yàn)橛?jì)算機(jī)在加入域之后，是無法移動(dòng)到其它OU中去的，只能先將計(jì)算機(jī)TOM從域中退出，然后設(shè)置計(jì)算機(jī)重定向到OUFBI，再將計(jì)算機(jī)TOM重新加入域才能實(shí)現(xiàn)TOM在OUFBI中。所以下面我使用本地管理員的方式來實(shí)現(xiàn)這一點(diǎn)，計(jì)算機(jī)重定向到指定OU我會(huì)在后面的（桌面云運(yùn)維管理策略）中詳細(xì)說明。

14.使用管理員賬戶登錄senhao-tim虛擬機(jī)，打開運(yùn)行，輸入gpedit.msc,打開組策略管理。（TOM本地的管理員賬號(hào)可先通過原來的tom賬戶登錄，然后在控制面板->賬戶管理登錄域管理員賬戶->添加一個(gè)域賬戶，設(shè)置為本地管理員類型，或者直接將賬戶Tom設(shè)置為本地管理員類型即可。）

56

15.選擇計(jì)算機(jī)配置 -> 管理模板... -> 系統(tǒng) -> 登錄 ->選擇隱藏“快速用戶切換”入口點(diǎn)，右鍵 ->編輯

53

16.勾選已啟用選項(xiàng)，確定。

54

17.查看開始菜單中的電源選項(xiàng)，關(guān)機(jī)、重啟、切換用戶等選項(xiàng)已經(jīng)被刪除或者不可用。

58

六、USB和智能卡設(shè)備重定向。

日常辦公使用的時(shí)候，少不得要用到U盤，智能卡之類的USB設(shè)備，但是在云桌面上，我們是通過遠(yuǎn)程桌面協(xié)議去連接的云主機(jī)，用戶能接觸到的USB口都在云終端設(shè)備上面，那么怎么才能讓云桌面的用戶正常使用U盤呢？

設(shè)備和資源重定向：

1.選擇計(jì)算機(jī)配置 -> 管理模板... -> Windows組件 -> 遠(yuǎn)程桌面服務(wù) ->遠(yuǎn)程桌面會(huì)話主機(jī) ->設(shè)備和資源重定向 ->將不允許受支持的即插即用設(shè)備重定向和不允許智能卡設(shè)備設(shè)備重定向設(shè)置為已禁用。

61

2.管理員打開“運(yùn)行”，輸入gpupdate /force強(qiáng)制更新組策略。

51

52

3.重啟虛擬機(jī)，同步組策略即可在云終端上插入U(xiǎn)盤和智能卡設(shè)備。

域控制器和組策略權(quán)限控制暫時(shí)就到這里了，其它還有很多的配置就不再一一介紹了。

桌面云系列文章

桌面云一（Hyper-V搭建云桌面虛擬機(jī)）
桌面云二（域控制器和組策略權(quán)限控制）
桌面云三（云桌面資源最佳配置和組策略應(yīng)用分發(fā)）
桌面云四（桌面云運(yùn)維管理策略）