配置受限制的组策略：解决方案

在创建生成Horizon的虚拟桌面时，Horizon管理工具，可以支持“链接克隆”桌面与完整克隆的桌面。

使用“链接克隆”虚拟桌面需要部署“父虚拟机”，在准备父虚拟机时，父虚拟机可以不必加入Active Directory，在使用Horizon管理员，创建链接克隆虚拟桌面时，会将新创建的虚拟机自动加入到Active Directory。要登录到Horizon桌面，需要使用Active Directory用户登录，并且用户必须是Horizon桌面本地“远程桌面”用户组的成员或本地“管理员用户组”成员。此时，就可以使用Active Directory中“受限制的组”策略，将用户或用户组添加到每个Horizon桌面（在使用Horizon管理员部署虚拟桌面后会自动加入到域中）的本地远程桌面用户组（或本地管理员组）中。

【说明】在创建非链接克隆虚拟机（完整虚拟机）时，需要使用虚拟机模板，并需要使用vCenter Server的部署规范，此时用于虚拟桌面的虚拟机模板，需要提前加入到Active Directory，并将需要登录到Horizon虚拟桌面的用户加入到虚拟机模板的“远程桌面用户组”或“本地管理员组”。

“受限制的组（Restricted Groups）”策略会设置域中计算机的本地组成员关系，使之与“受限制的组”策略中定义的成员关系列表设置相匹配。Horizon桌面用户组的成员始终会添加到每个加入域的Horizon虚拟桌面的本地远程桌面用户组中。添加新用户时，您只需要将其添加到您的Horizon桌面用户组。

1）在Active Directory服务器中，在“服务器管理器→工具”中选择“组策略管理”，定位到“域→heinfo.edu.cn→VMware-View”，用鼠标右击“Win7x-PC”，在弹出的快捷菜单中选择“在这个域中创建GPO（组策略对象）并在此处链接”命令，在弹出的“新建GPO”对话框中，在“名称”处输入新建的GPO名称，本例为“Win7x-GPO”，如图6-4-13所示。

2）在创建GPO后，用鼠标右击新建的策略“Win7x-GPO”，在弹出的快捷菜单中选择“编辑”命令，如图6-4-14所示。

3）打开“组策略管理编辑器”对话框后，定位到“计算机配置→策略→Windows设置→安全设置→受限制的组”选项，在右侧空白位置用鼠标右击，在弹出的快捷菜单中选择“添加组”命令，如图6-4-15所示。

图6-4-13 创建GPO

图6-4-14 选择编辑命令

图6-4-15 添加受限制的组

4）在弹出组的“添加组”对话框中，单击“浏览”按钮，在弹出的“选择组”对话框中，查找选择“Remote Desktop Users”（远程桌面用户组），如图6-4-16所示。

5）在弹出的“Remote Desktop Users属性”对话框中，单击“添加”按钮，如图6-4-17所示

(www.xing528.com)

图6-4-16 选择远程桌面用户组

图6-4-17 添加组

6）在弹出的“添加成员”对话框中，添加“Domain Users”（表示所有域用户），如图6-4-18所示。

7）添加之后返回到“Remote Desktop Users属性”对话框，从图中可以看到已经将用户组添加到列表中，单击“确定”按钮完成设置，如图6-4-19所示。

图6-4-18 添加组成员

图6-4-19 用户已添加到远程桌面用户组中

通过上面的设置，在使用虚拟桌面时，指定的用户能登录虚拟桌面，但并不能在虚拟桌面中安装或删除软件、修改配置。因为指定的域用户并没有Horizon虚拟桌面的“本地管理员组”权限。如果你允许域中指定的用户，具有Horizon虚拟桌面的管理员权限，可以参照1）～7）的步骤，添加“Administrators”组，如图6-4-20所示。添加之后受限制的组如图6-4-21所示。

图6-4-20 添加Administrators组

图6-4-21 组策略配置完成后的受限制组

【说明】可以参照本文的步骤，分别为Win10x-PC、WinXp-PC创建GPO并编辑GPO，这些不一一介绍。