12、Horizon 域控组策略管理
Horizon 域控组策略管理Horizon 域控组策略管理1、简介2、导入ADM模板3、链接现有GPO4、禁止所有客户机使用U盘5、禁止共享文件和文件夹(驱动器重定向)6、隐藏客户端菜单栏选项7、禁用 Horizon Web 文件传输功能8、配置桌面水印9、显示桌面图标10、统一设置桌面壁纸11、修改域控用户密码策略12、将域用户加到本地管理员组13、文件夹重定向配置14、批量挂载网络驱动器(N
Horizon 域控组策略管理
- Horizon 域控组策略管理
- 1、简介
- 2、导入ADM模板
- 3、链接现有GPO
- 4、禁止所有客户机使用U盘
- 5、禁止共享文件和文件夹(驱动器重定向)
- 6、隐藏客户端菜单栏选项
- 7、禁用 Horizon Web 文件传输功能
- 8、配置桌面水印
- 9、显示桌面图标
- 10、统一设置桌面壁纸
- 11、修改域控用户密码策略
- 12、将域用户加到本地管理员组
- 13、文件夹重定向配置
- 14、批量挂载网络驱动器(NAS存储或共享文件夹)
- 15、批量安装软件
- 16、批量推送桌面快捷方式
- 17、配置Chrome浏览器重定向
- 18、检查客户端下发的组策略
1、简介
Horizon 提供了多个特定于组件的组策略管理 ADMX 模板文件。您可以将这些 ADMX 模板文件中的策略设置添加到 Active Directory 中的新 GPO 或现有 GPO,从而优化和保护远程桌面和应用程序。
为 Horizon 提供组策略设置的所有 ADMX 文件在 VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip 中提供,其中 YYMM 是市场营销版本,x.x.x 是内部的版本,yyyyyyyy 是内部版本号。您可以从 VMware 下载站点中下载该文件,网址为 https://my.vmware.com/web/vmware/downloads。在“桌面和终端用户计算”下,选择 VMware Horizon 下载,其中包括含 ZIP 文件的 GPO 捆绑包。
要升级组策略,可在 Active Directory 服务器上使用组策略对象编辑器来添加新版本的模板文件。
Horizon ADMX 模板文件同时包含计算机配置组策略和用户配置组策略。
计算机配置策略将设置应用于所有远程桌面的策略(无论哪个用户连接到桌面)。
用户配置策略将设置应用于所有用户的策略(无论他们连接到哪个远程桌面或应用程序)。用户配置策略覆盖等效的计算机配置策略。
2、导入ADM模板
- 登录域控服务器,将模板文件:VMware-Horizon-Extras-Bundle-2111-8.4.0-18958069.zip 下载到域控服务器本地硬盘,并进行解压。
- 将解压后的所有文件全部复制到域控服务器的指定目录:C:\Windows\PolicyDefinitions
- 打开域控服务器的组策略
- 在本地组策略名称上右键,编辑
- 依次展开菜单,可以看到刚刚导入的计算机配置和用户配置的组策略
3、链接现有GPO
- 登录到域服务器,打开组策略管理器,在指定OU上右键,链接现有GPO
- 选择系统默认的组策略,点击确定
- GPO链接完成,如下图:
- 以后针对默认组策略的任何修改,都将会自动应用到Horizon的用户和计算机上。
4、禁止所有客户机使用U盘
注意事项:
- 组策略更改后,需要执行以下命令生效:gpupdate /force
- 注销或者重新启动所有桌面,登录立马生效
-
在Win10客户端安装 Horizon Agent 的时候,取消勾选 USB重定向功能。
-
使用组策略:启用排除所有设备
5、禁止共享文件和文件夹(驱动器重定向)
- 配置进行文件共享
- 配置禁止驱动器重定向
6、隐藏客户端菜单栏选项
- 隐藏 “设置” 齿轮 : 是
- 隐藏系统托盘菜单中的项目
- 隐藏桌面工具栏中的项目
- 按需配置以下选项
- 隐藏桌面上下文菜单中的项目
- 按需配置隐藏的功能菜单
- 隐藏应用程序上下文菜单中的项目
- 按需配置功能菜单
- 禁止屏幕捕捉
7、禁用 Horizon Web 文件传输功能
- 配置Web文件传输
- 按需配置所需功能
8、配置桌面水印
水印配置设置位于用户配置文件夹中,该文件夹位于组策略管理编辑器的用户配置 > 策略 > 管理模板 > VMware View Agent 配置 > 水印文件夹中。
- 启用水印功能
- 配置水印选项
文本:
%USERNAME%
%COMPUTERNAME%
%ViewClient_IP_Address%
%ViewClient_ConnectTime%
9、显示桌面图标
- 在域控服务器上新建目录,本例为:share,设置共享权限
- 在共享目录share下新建文件:desktop.bat,写入以下文件内容
echo off
echo 显示用户的文件
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {59031a47-3f72-44a7-89c5-5595fe6b30ee} /t REG_DWORD /d 0 /f
echo 显示计算机
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {20D04FE0-3AEA-1069-A2D8-08002B30309D} /t REG_DWORD /d 0 /f
echo 显示网络
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {F02C1A0D-BE21-4350-88B0-7367FC96EF3C} /t REG_DWORD /d 0 /f
echo 显示控制面板
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} /t REG_DWORD /d 0 /f
echo 显示回收站
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {645FF040-5081-101B-9F08-00AA002F954E} /t REG_DWORD /d 0 /f
- 找到指定的OU,右键,编辑关联的组策略
- 依次展开用户配置-Windows设置-脚本(登录/注销),双击右侧的登录
- 点击添加
- 点击浏览,选择刚刚创建的desktop.bat文件的网络路径
- 点击应用,确定
- 注销登录的桌面,重新登录
10、统一设置桌面壁纸
-
登录到域控服务器,打开指定OU关联的组策略
-
依次打开用户配置–管理模板–桌面–桌面,在右侧启用Active Desktop
- 双击桌面壁纸
- 配置以下参数信息
- 注销或者重新启动桌面,再次登录虚拟桌面
11、修改域控用户密码策略
- 登录域控服务器,打开组策略管理器,更改以下配置信息
12、将域用户加到本地管理员组
- 打开组策略管理器,依次展开计算机配置-策略-Windows设置-安全设置-受限的组,右键添加组
- 点击浏览,添加用户组,点击确定
- 在这个组隶属于菜单下,点击添加,添加Administrators,点击确定
- 受限制的组,添加完成如下:
- 域控服务器上刷新组策略,注销客户端,重新登录,查看管理员组
13、文件夹重定向配置
- 有条件的话,尽量新一台虚拟机,用于文件服务器,专门用于存放用户文件。
- 本例资源有限,文件服务器与域控均在同一台
- 登录域控服务器,新建文件夹:D:\Data,右键查看属性,点击高级共享
- 勾选共享此文件夹,点击权限按钮
- 勾选所有权限,点击应用,点击确定
- 打开组策略管理器,依次展开,用户配置-策略-文件夹重定向
- 在右侧点击桌面右键,点击属性,填写共享目录的网络路径,点击应用
- 在警告窗口中,点击是,然后点击确定
- 刷新组策略:gpupdate /force ,注销桌面,重新登录,在桌面上新建文件,查看文件的属性,已经重定向到文件服务器上了。
- 参照上述步骤,可以自行按需配置其他文件夹重定向(例如:文档、图片、视频、下载等)
14、批量挂载网络驱动器(NAS存储或共享文件夹)
前提:需要有NAS文件服务器,或者共享文件夹
- 打开组策略管理器,依次展开,用户配置-首选项-驱动器映射,右键新建,映射驱动器
- 在常规选项卡下,位置处输入共享文件夹或NAS路径,勾选重新连接,选择一个驱动器编号,选中显示此驱动器和显示所有驱动器,点击应用,点击确定
- 勾选项目级别目标,点击右侧目标按钮
- 点击新建项目,在下拉列表中,选择组织单位
- 浏览组织单位,选择之前创建的Horizon组织单元,点击确定
- 再次点击应用,确定
- 刷新组策略,注销桌面,重新登录桌面,查看网络磁盘
15、批量安装软件
-
登录虚拟桌面,在虚拟桌面上安装软件,本例为安装Firefox
-
在虚拟桌面上安装MSI Wrapper工具(安装过程略),以管理员身份打开MSI Wrapper,点击Next
- 在第一行浏览,选择一个exe可执行文件,点击Next
- 保持默认,点击Next
- 点击lookup,找到Firefox的名称,点击Create New,点击Next
- 保持默认,点击Next
- 保持默认,点击Next
- 安装卸载参数,输入 /S ,代表静默安装,点击Next
- 继续点击Next
- 点击Build
- 提示MSI软件包构建成功,点击打开文件夹,复制文件夹路径
- 登录域控服务器,配置组策略,在用户配置-软件设置-软件安装,右键新建数据包
- 选中之前创建的MSI文件
- 选中高级,点击确定
- 在部署选项卡下面,选择已分配,勾选在登录时安装此应用程序,点击确定
- 刷新组策略,注销重新登录桌面,查看桌面是否安装了Firefox软件
- 其他软件的批量安装方式,也可以参照上述步骤。
16、批量推送桌面快捷方式
- 在域控上创建共享文件夹,将快捷方式复制到共享文件夹内,本例为:公司网盘。
- 打开组策略管理器,依次展开,用户配置-首选项-Windows设置-快捷方式,右键新建快捷方式。
-
操作下拉选择创建,输入快捷方式名称,目标类型选择文件系统对象(如果是网络硬盘请选择URL),目标路径选择共享文件夹的网络路径,选择一个合适的桌面图标,点击应用,点击确定。
-
快捷方式创建完成,如下图:
- 刷新组策略,注销重新登录桌面,查看桌面上是否有新增快捷方式。
17、配置Chrome浏览器重定向
- 下载chrome的gpo文件
\\192.168.20.73\ShareHub\VMware\Installation Package-VMware-Horizon-View\VMware-Horizon-View 2111\chrome.adm
- 进入到组策略管理器,依次展开用户配置-策略,在管理模板上右键,添加/删除模板,点击添加,选择chrome.adm文件。
18、检查客户端下发的组策略
- 在客户端机器上打开CMD
- 输入以下内容:gpresult /h C:\report.html
- 检查报告内容
- 使用命令:rsop.msc 也可以查看客户端获取到组策略。
注意事项:
以上组策略更改完成之后,需要在域控服务器上刷新组策略:gpupdate /force,注销或者重启所有桌面生效。
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)