Horizon 域控组策略管理

1、简介

Horizon 提供了多个特定于组件的组策略管理 ADMX 模板文件。您可以将这些 ADMX 模板文件中的策略设置添加到 Active Directory 中的新 GPO 或现有 GPO,从而优化和保护远程桌面和应用程序。

为 Horizon 提供组策略设置的所有 ADMX 文件在 VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip 中提供,其中 YYMM 是市场营销版本,x.x.x 是内部的版本,yyyyyyyy 是内部版本号。您可以从 VMware 下载站点中下载该文件,网址为 https://my.vmware.com/web/vmware/downloads。在“桌面和终端用户计算”下,选择 VMware Horizon 下载,其中包括含 ZIP 文件的 GPO 捆绑包。

要升级组策略,可在 Active Directory 服务器上使用组策略对象编辑器来添加新版本的模板文件。

Horizon ADMX 模板文件同时包含计算机配置组策略和用户配置组策略。

计算机配置策略将设置应用于所有远程桌面的策略(无论哪个用户连接到桌面)。
用户配置策略将设置应用于所有用户的策略(无论他们连接到哪个远程桌面或应用程序)。用户配置策略覆盖等效的计算机配置策略。

2、导入ADM模板

  1. 登录域控服务器,将模板文件:VMware-Horizon-Extras-Bundle-2111-8.4.0-18958069.zip 下载到域控服务器本地硬盘,并进行解压。
  2. 将解压后的所有文件全部复制到域控服务器的指定目录:C:\Windows\PolicyDefinitions
  3. 打开域控服务器的组策略

在这里插入图片描述

  1. 在本地组策略名称上右键,编辑

在这里插入图片描述

  1. 依次展开菜单,可以看到刚刚导入的计算机配置和用户配置的组策略

在这里插入图片描述

3、链接现有GPO

  1. 登录到域服务器,打开组策略管理器,在指定OU上右键,链接现有GPO

在这里插入图片描述

  1. 选择系统默认的组策略,点击确定

在这里插入图片描述

  1. GPO链接完成,如下图:

在这里插入图片描述

  1. 以后针对默认组策略的任何修改,都将会自动应用到Horizon的用户和计算机上。

4、禁止所有客户机使用U盘

注意事项:

  • 组策略更改后,需要执行以下命令生效:gpupdate /force
  • 注销或者重新启动所有桌面,登录立马生效
  1. 在Win10客户端安装 Horizon Agent 的时候,取消勾选 USB重定向功能。

  2. 使用组策略:启用排除所有设备

在这里插入图片描述

5、禁止共享文件和文件夹(驱动器重定向)

  • 配置进行文件共享

在这里插入图片描述

  • 配置禁止驱动器重定向

在这里插入图片描述

6、隐藏客户端菜单栏选项

在这里插入图片描述

  • 隐藏 “设置” 齿轮 : 是

在这里插入图片描述

  • 隐藏系统托盘菜单中的项目

在这里插入图片描述

  • 隐藏桌面工具栏中的项目

在这里插入图片描述

  • 按需配置以下选项

在这里插入图片描述

  • 隐藏桌面上下文菜单中的项目

在这里插入图片描述

  • 按需配置隐藏的功能菜单

在这里插入图片描述

  • 隐藏应用程序上下文菜单中的项目

在这里插入图片描述

  • 按需配置功能菜单

在这里插入图片描述

  • 禁止屏幕捕捉

在这里插入图片描述

7、禁用 Horizon Web 文件传输功能

  • 配置Web文件传输

在这里插入图片描述

  • 按需配置所需功能

在这里插入图片描述

8、配置桌面水印

水印配置设置位于用户配置文件夹中,该文件夹位于组策略管理编辑器的用户配置 > 策略 > 管理模板 > VMware View Agent 配置 > 水印文件夹中。

  • 启用水印功能

在这里插入图片描述

  • 配置水印选项

在这里插入图片描述

文本:

%USERNAME%
%COMPUTERNAME%
%ViewClient_IP_Address%
%ViewClient_ConnectTime%

9、显示桌面图标

  1. 在域控服务器上新建目录,本例为:share,设置共享权限

在这里插入图片描述

  1. 在共享目录share下新建文件:desktop.bat,写入以下文件内容
echo off

echo 显示用户的文件

REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {59031a47-3f72-44a7-89c5-5595fe6b30ee} /t REG_DWORD /d 0 /f

echo 显示计算机

REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {20D04FE0-3AEA-1069-A2D8-08002B30309D} /t REG_DWORD /d 0 /f

echo 显示网络

REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {F02C1A0D-BE21-4350-88B0-7367FC96EF3C} /t REG_DWORD /d 0 /f

echo 显示控制面板

REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} /t REG_DWORD /d 0 /f

echo 显示回收站

REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {645FF040-5081-101B-9F08-00AA002F954E} /t REG_DWORD /d 0 /f
  1. 找到指定的OU,右键,编辑关联的组策略

在这里插入图片描述

  1. 依次展开用户配置-Windows设置-脚本(登录/注销),双击右侧的登录

在这里插入图片描述

  1. 点击添加

在这里插入图片描述

  1. 点击浏览,选择刚刚创建的desktop.bat文件的网络路径

在这里插入图片描述

  1. 点击应用,确定

在这里插入图片描述

  1. 注销登录的桌面,重新登录

在这里插入图片描述

10、统一设置桌面壁纸

  1. 登录到域控服务器,打开指定OU关联的组策略

  2. 依次打开用户配置–管理模板–桌面–桌面,在右侧启用Active Desktop

在这里插入图片描述

  1. 双击桌面壁纸

在这里插入图片描述

  1. 配置以下参数信息

在这里插入图片描述

  1. 注销或者重新启动桌面,再次登录虚拟桌面

在这里插入图片描述

11、修改域控用户密码策略

  1. 登录域控服务器,打开组策略管理器,更改以下配置信息

在这里插入图片描述

12、将域用户加到本地管理员组

  1. 打开组策略管理器,依次展开计算机配置-策略-Windows设置-安全设置-受限的组,右键添加组

在这里插入图片描述

  1. 点击浏览,添加用户组,点击确定

在这里插入图片描述

  1. 在这个组隶属于菜单下,点击添加,添加Administrators,点击确定

在这里插入图片描述

  1. 受限制的组,添加完成如下:

在这里插入图片描述

  1. 域控服务器上刷新组策略,注销客户端,重新登录,查看管理员组
    在这里插入图片描述

13、文件夹重定向配置

  • 有条件的话,尽量新一台虚拟机,用于文件服务器,专门用于存放用户文件。
  • 本例资源有限,文件服务器与域控均在同一台
  1. 登录域控服务器,新建文件夹:D:\Data,右键查看属性,点击高级共享

在这里插入图片描述

  1. 勾选共享此文件夹,点击权限按钮

在这里插入图片描述

  1. 勾选所有权限,点击应用,点击确定

在这里插入图片描述

  1. 打开组策略管理器,依次展开,用户配置-策略-文件夹重定向

在这里插入图片描述

  1. 在右侧点击桌面右键,点击属性,填写共享目录的网络路径,点击应用

在这里插入图片描述

  1. 在警告窗口中,点击是,然后点击确定

在这里插入图片描述

  1. 刷新组策略:gpupdate /force ,注销桌面,重新登录,在桌面上新建文件,查看文件的属性,已经重定向到文件服务器上了。

在这里插入图片描述

  1. 参照上述步骤,可以自行按需配置其他文件夹重定向(例如:文档、图片、视频、下载等)

14、批量挂载网络驱动器(NAS存储或共享文件夹)

前提:需要有NAS文件服务器,或者共享文件夹

  1. 打开组策略管理器,依次展开,用户配置-首选项-驱动器映射,右键新建,映射驱动器

在这里插入图片描述

  1. 在常规选项卡下,位置处输入共享文件夹或NAS路径,勾选重新连接,选择一个驱动器编号,选中显示此驱动器和显示所有驱动器,点击应用,点击确定

在这里插入图片描述

  1. 勾选项目级别目标,点击右侧目标按钮

在这里插入图片描述

  1. 点击新建项目,在下拉列表中,选择组织单位

在这里插入图片描述

  1. 浏览组织单位,选择之前创建的Horizon组织单元,点击确定

在这里插入图片描述

  1. 再次点击应用,确定

在这里插入图片描述

  1. 刷新组策略,注销桌面,重新登录桌面,查看网络磁盘

在这里插入图片描述

15、批量安装软件

  1. 登录虚拟桌面,在虚拟桌面上安装软件,本例为安装Firefox

  2. 在虚拟桌面上安装MSI Wrapper工具(安装过程略),以管理员身份打开MSI Wrapper,点击Next

在这里插入图片描述

  1. 在第一行浏览,选择一个exe可执行文件,点击Next

在这里插入图片描述

  1. 保持默认,点击Next

在这里插入图片描述

  1. 点击lookup,找到Firefox的名称,点击Create New,点击Next

在这里插入图片描述

  1. 保持默认,点击Next

在这里插入图片描述

  1. 保持默认,点击Next

在这里插入图片描述

  1. 安装卸载参数,输入 /S ,代表静默安装,点击Next

在这里插入图片描述

  1. 继续点击Next

在这里插入图片描述

  1. 点击Build

在这里插入图片描述

  1. 提示MSI软件包构建成功,点击打开文件夹,复制文件夹路径

在这里插入图片描述

  1. 登录域控服务器,配置组策略,在用户配置-软件设置-软件安装,右键新建数据包

在这里插入图片描述

  1. 选中之前创建的MSI文件

在这里插入图片描述

  1. 选中高级,点击确定

在这里插入图片描述

  1. 在部署选项卡下面,选择已分配,勾选在登录时安装此应用程序,点击确定

在这里插入图片描述

  1. 刷新组策略,注销重新登录桌面,查看桌面是否安装了Firefox软件

在这里插入图片描述

  1. 其他软件的批量安装方式,也可以参照上述步骤。

16、批量推送桌面快捷方式

  1. 在域控上创建共享文件夹,将快捷方式复制到共享文件夹内,本例为:公司网盘。

在这里插入图片描述

  1. 打开组策略管理器,依次展开,用户配置-首选项-Windows设置-快捷方式,右键新建快捷方式。

在这里插入图片描述

  1. 操作下拉选择创建,输入快捷方式名称,目标类型选择文件系统对象(如果是网络硬盘请选择URL),目标路径选择共享文件夹的网络路径,选择一个合适的桌面图标,点击应用,点击确定。
    在这里插入图片描述

  2. 快捷方式创建完成,如下图:

在这里插入图片描述

  1. 刷新组策略,注销重新登录桌面,查看桌面上是否有新增快捷方式。

在这里插入图片描述

17、配置Chrome浏览器重定向

  1. 下载chrome的gpo文件
\\192.168.20.73\ShareHub\VMware\Installation Package-VMware-Horizon-View\VMware-Horizon-View 2111\chrome.adm
  1. 进入到组策略管理器,依次展开用户配置-策略,在管理模板上右键,添加/删除模板,点击添加,选择chrome.adm文件。

18、检查客户端下发的组策略

  1. 在客户端机器上打开CMD
  2. 输入以下内容:gpresult /h C:\report.html
  3. 检查报告内容
  4. 使用命令:rsop.msc 也可以查看客户端获取到组策略。

注意事项:

以上组策略更改完成之后,需要在域控服务器上刷新组策略:gpupdate /force,注销或者重启所有桌面生效。

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐