- Horizon 域控组策略管理
- Horizon 域控组策略管理
- 1、简介
- 2、导入ADM模板
- 3、链接现有GPO
- 4、禁止所有客户机使用U盘
- 5、禁止共享文件和文件夹(驱动器重定向)
- 6、隐藏客户端菜单栏选项
- 7、禁用 Horizon Web 文件传输功能
- 8、配置桌面水印
- 9、显示桌面图标
- 10、统一设置桌面壁纸
- 11、修改域控用户密码策略
- 12、将域用户加到本地管理员组
- 13、文件夹重定向配置
- 14、批量挂载网络驱动器(NAS存储或共享文件夹)
- 15、批量安装软件
- 16、批量推送桌面快捷方式
- 17、配置Chrome浏览器重定向
- 18、检查客户端下发的组策略
- 1、简介
- Horizon 提供了多个特定于组件的组策略管理 ADMX 模板文件。您可以将这些 ADMX 模板文件中的策略设置添加到 Active Directory 中的新 GPO 或现有 GPO,从而优化和保护远程桌面和应用程序。
- https://my.vmware.com/web/vmware/downloads。在“桌面和终端用户计算”下,选择 VMware Horizon 下载,其中包括含 ZIP 文件的 GPO 捆绑包。">为 Horizon 提供组策略设置的所有 ADMX 文件在 VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip 中提供,其中 YYMM 是市场营销版本,x.x.x 是内部的版本,yyyyyyyy 是内部版本号。您可以从 VMware 下载站点中下载该文件,网址为 https://my.vmware.com/web/vmware/downloads。在“桌面和终端用户计算”下,选择 VMware Horizon 下载,其中包括含 ZIP 文件的 GPO 捆绑包。
- 要升级组策略,可在 Active Directory 服务器上使用组策略对象编辑器来添加新版本的模板文件。
- Horizon ADMX 模板文件同时包含计算机配置组策略和用户配置组策略。
- 计算机配置策略将设置应用于所有远程桌面的策略(无论哪个用户连接到桌面)。
- 用户配置策略将设置应用于所有用户的策略(无论他们连接到哪个远程桌面或应用程序)。用户配置策略覆盖等效的计算机配置策略。
- 2、导入ADM模板
- 3、链接现有GPO
- 4、禁止所有客户机使用U盘
- 5、禁止共享文件和文件夹(驱动器重定向)
- 6、隐藏客户端菜单栏选项
- 7、禁用 Horizon Web 文件传输功能
- 8、配置桌面水印
- 9、显示桌面图标
- 在域控服务器上新建目录,本例为:share,设置共享权限
- ">
- 在共享目录share下新建文件:desktop.bat,写入以下文件内容
- echo off
- echo 显示用户的文件
- REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {59031a47-3f72-44a7-89c5-5595fe6b30ee} /t REG_DWORD /d 0 /f
- echo 显示计算机
- REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {20D04FE0-3AEA-1069-A2D8-08002B30309D} /t REG_DWORD /d 0 /f
- echo 显示网络
- REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {F02C1A0D-BE21-4350-88B0-7367FC96EF3C} /t REG_DWORD /d 0 /f
- echo 显示控制面板
- REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} /t REG_DWORD /d 0 /f
- echo 显示回收站
- REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {645FF040-5081-101B-9F08-00AA002F954E} /t REG_DWORD /d 0 /f
- 找到指定的OU,右键,编辑关联的组策略
- ">
- 依次展开用户配置-Windows设置-脚本(登录/注销),双击右侧的登录
- ">
- 点击添加
- ">
- 点击浏览,选择刚刚创建的desktop.bat文件的网络路径
- ">
- 点击应用,确定
- ">
- 注销登录的桌面,重新登录
- 10、统一设置桌面壁纸
- 11、修改域控用户密码策略
- 12、将域用户加到本地管理员组
- 13、文件夹重定向配置
- 有条件的话,尽量新一台虚拟机,用于文件服务器,专门用于存放用户文件。
- 本例资源有限,文件服务器与域控均在同一台
- 登录域控服务器,新建文件夹:D:\Data,右键查看属性,点击高级共享
- ">
- 勾选共享此文件夹,点击权限按钮
- ">
- 勾选所有权限,点击应用,点击确定
- ">
- 打开组策略管理器,依次展开,用户配置-策略-文件夹重定向
- ">
- 在右侧点击桌面右键,点击属性,填写共享目录的网络路径,点击应用
- ">
- 在警告窗口中,点击是,然后点击确定
- ">
- 刷新组策略:gpupdate /force ,注销桌面,重新登录,在桌面上新建文件,查看文件的属性,已经重定向到文件服务器上了。
- ">
- 参照上述步骤,可以自行按需配置其他文件夹重定向(例如:文档、图片、视频、下载等)
- 14、批量挂载网络驱动器(NAS存储或共享文件夹)
- 15、批量安装软件
- 登录虚拟桌面,在虚拟桌面上安装软件,本例为安装Firefox
- 在虚拟桌面上安装MSI Wrapper工具(安装过程略),以管理员身份打开MSI Wrapper,点击Next
- ">
- 在第一行浏览,选择一个exe可执行文件,点击Next
- ">
- 保持默认,点击Next
- ">
- 点击lookup,找到Firefox的名称,点击Create New,点击Next
- ">
- 保持默认,点击Next
- ">
- 保持默认,点击Next
- ">
- 安装卸载参数,输入 /S ,代表静默安装,点击Next
- ">
- 继续点击Next
- ">
- 点击Build
- ">
- 提示MSI软件包构建成功,点击打开文件夹,复制文件夹路径
- ">
- 登录域控服务器,配置组策略,在用户配置-软件设置-软件安装,右键新建数据包
- ">
- 选中之前创建的MSI文件
- ">
- 选中高级,点击确定
- ">
- 在部署选项卡下面,选择已分配,勾选在登录时安装此应用程序,点击确定
- ">
- 刷新组策略,注销重新登录桌面,查看桌面是否安装了Firefox软件
- ">
- 其他软件的批量安装方式,也可以参照上述步骤。
- 16、批量推送桌面快捷方式
- 17、配置Chrome浏览器重定向
- 18、检查客户端下发的组策略
Horizon 域控组策略管理
Horizon 域控组策略管理
1、简介
2、导入ADM模板
3、链接现有GPO
4、禁止所有客户机使用U盘
5、禁止共享文件和文件夹(驱动器重定向)
6、隐藏客户端菜单栏选项
7、禁用 Horizon Web 文件传输功能
8、配置桌面水印
9、显示桌面图标
10、统一设置桌面壁纸
11、修改域控用户密码策略
12、将域用户加到本地管理员组
13、文件夹重定向配置
14、批量挂载网络驱动器(NAS存储或共享文件夹)
15、批量安装软件
16、批量推送桌面快捷方式
17、配置Chrome浏览器重定向
18、检查客户端下发的组策略
1、简介
Horizon 提供了多个特定于组件的组策略管理 ADMX 模板文件。您可以将这些 ADMX 模板文件中的策略设置添加到 Active Directory 中的新 GPO 或现有 GPO,从而优化和保护远程桌面和应用程序。
为 Horizon 提供组策略设置的所有 ADMX 文件在 VMware-Horizon-Extras-Bundle-YYMM-x.x.x-yyyyyyyy.zip 中提供,其中 YYMM 是市场营销版本,x.x.x 是内部的版本,yyyyyyyy 是内部版本号。您可以从 VMware 下载站点中下载该文件,网址为 https://my.vmware.com/web/vmware/downloads。在“桌面和终端用户计算”下,选择 VMware Horizon 下载,其中包括含 ZIP 文件的 GPO 捆绑包。
要升级组策略,可在 Active Directory 服务器上使用组策略对象编辑器来添加新版本的模板文件。
Horizon ADMX 模板文件同时包含计算机配置组策略和用户配置组策略。
计算机配置策略将设置应用于所有远程桌面的策略(无论哪个用户连接到桌面)。
用户配置策略将设置应用于所有用户的策略(无论他们连接到哪个远程桌面或应用程序)。用户配置策略覆盖等效的计算机配置策略。
2、导入ADM模板
登录域控服务器,将模板文件:VMware-Horizon-Extras-Bundle-2111-8.4.0-18958069.zip 下载到域控服务器本地硬盘,并进行解压。
将解压后的所有文件全部复制到域控服务器的指定目录:C:\Windows\PolicyDefinitions
打开域控服务器的组策略
在本地组策略名称上右键,编辑
依次展开菜单,可以看到刚刚导入的计算机配置和用户配置的组策略
3、链接现有GPO
登录到域服务器,打开组策略管理器,在指定OU上右键,链接现有GPO
选择系统默认的组策略,点击确定
GPO链接完成,如下图:
以后针对默认组策略的任何修改,都将会自动应用到Horizon的用户和计算机上。
4、禁止所有客户机使用U盘
注意事项:
组策略更改后,需要执行以下命令生效:gpupdate /force
注销或者重新启动所有桌面,登录立马生效
在Win10客户端安装 Horizon Agent 的时候,取消勾选 USB重定向功能。
使用组策略:启用排除所有设备
5、禁止共享文件和文件夹(驱动器重定向)
配置进行文件共享
配置禁止驱动器重定向
6、隐藏客户端菜单栏选项
隐藏 “设置” 齿轮 : 是
隐藏系统托盘菜单中的项目
隐藏桌面工具栏中的项目
按需配置以下选项
隐藏桌面上下文菜单中的项目
按需配置隐藏的功能菜单
隐藏应用程序上下文菜单中的项目
按需配置功能菜单
禁止屏幕捕捉
7、禁用 Horizon Web 文件传输功能
配置Web文件传输
按需配置所需功能
8、配置桌面水印
水印配置设置位于用户配置文件夹中,该文件夹位于组策略管理编辑器的用户配置 > 策略 > 管理模板 > VMware View Agent 配置 > 水印文件夹中。
启用水印功能
配置水印选项
文本:
%USERNAME%
%COMPUTERNAME%
%ViewClient_IP_Address%
%ViewClient_ConnectTime%
9、显示桌面图标
在域控服务器上新建目录,本例为:share,设置共享权限
在共享目录share下新建文件:desktop.bat,写入以下文件内容
echo off
echo 显示用户的文件
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {59031a47-3f72-44a7-89c5-5595fe6b30ee} /t REG_DWORD /d 0 /f
echo 显示计算机
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {20D04FE0-3AEA-1069-A2D8-08002B30309D} /t REG_DWORD /d 0 /f
echo 显示网络
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {F02C1A0D-BE21-4350-88B0-7367FC96EF3C} /t REG_DWORD /d 0 /f
echo 显示控制面板
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0} /t REG_DWORD /d 0 /f
echo 显示回收站
REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel /v {645FF040-5081-101B-9F08-00AA002F954E} /t REG_DWORD /d 0 /f
找到指定的OU,右键,编辑关联的组策略
依次展开用户配置-Windows设置-脚本(登录/注销),双击右侧的登录
点击添加
点击浏览,选择刚刚创建的desktop.bat文件的网络路径
点击应用,确定
注销登录的桌面,重新登录
10、统一设置桌面壁纸
登录到域控服务器,打开指定OU关联的组策略
依次打开用户配置–管理模板–桌面–桌面,在右侧启用Active Desktop
双击桌面壁纸
配置以下参数信息
注销或者重新启动桌面,再次登录虚拟桌面
11、修改域控用户密码策略
登录域控服务器,打开组策略管理器,更改以下配置信息
12、将域用户加到本地管理员组
打开组策略管理器,依次展开计算机配置-策略-Windows设置-安全设置-受限的组,右键添加组
点击浏览,添加用户组,点击确定
在这个组隶属于菜单下,点击添加,添加Administrators,点击确定
受限制的组,添加完成如下:
域控服务器上刷新组策略,注销客户端,重新登录,查看管理员组
13、文件夹重定向配置
有条件的话,尽量新一台虚拟机,用于文件服务器,专门用于存放用户文件。
本例资源有限,文件服务器与域控均在同一台
登录域控服务器,新建文件夹:D:\Data,右键查看属性,点击高级共享
勾选共享此文件夹,点击权限按钮
勾选所有权限,点击应用,点击确定
打开组策略管理器,依次展开,用户配置-策略-文件夹重定向
在右侧点击桌面右键,点击属性,填写共享目录的网络路径,点击应用
在警告窗口中,点击是,然后点击确定
刷新组策略:gpupdate /force ,注销桌面,重新登录,在桌面上新建文件,查看文件的属性,已经重定向到文件服务器上了。
参照上述步骤,可以自行按需配置其他文件夹重定向(例如:文档、图片、视频、下载等)
14、批量挂载网络驱动器(NAS存储或共享文件夹)
前提:需要有NAS文件服务器,或者共享文件夹
打开组策略管理器,依次展开,用户配置-首选项-驱动器映射,右键新建,映射驱动器
在常规选项卡下,位置处输入共享文件夹或NAS路径,勾选重新连接,选择一个驱动器编号,选中显示此驱动器和显示所有驱动器,点击应用,点击确定
勾选项目级别目标,点击右侧目标按钮
点击新建项目,在下拉列表中,选择组织单位
浏览组织单位,选择之前创建的Horizon组织单元,点击确定
再次点击应用,确定
刷新组策略,注销桌面,重新登录桌面,查看网络磁盘
15、批量安装软件
登录虚拟桌面,在虚拟桌面上安装软件,本例为安装Firefox
在虚拟桌面上安装MSI Wrapper工具(安装过程略),以管理员身份打开MSI Wrapper,点击Next
在第一行浏览,选择一个exe可执行文件,点击Next
保持默认,点击Next
点击lookup,找到Firefox的名称,点击Create New,点击Next
保持默认,点击Next
保持默认,点击Next
安装卸载参数,输入 /S ,代表静默安装,点击Next
继续点击Next
点击Build
提示MSI软件包构建成功,点击打开文件夹,复制文件夹路径
登录域控服务器,配置组策略,在用户配置-软件设置-软件安装,右键新建数据包
选中之前创建的MSI文件
选中高级,点击确定
在部署选项卡下面,选择已分配,勾选在登录时安装此应用程序,点击确定
刷新组策略,注销重新登录桌面,查看桌面是否安装了Firefox软件
其他软件的批量安装方式,也可以参照上述步骤。
16、批量推送桌面快捷方式
在域控上创建共享文件夹,将快捷方式复制到共享文件夹内,本例为:公司网盘。
打开组策略管理器,依次展开,用户配置-首选项-Windows设置-快捷方式,右键新建快捷方式。
操作下拉选择创建,输入快捷方式名称,目标类型选择文件系统对象(如果是网络硬盘请选择URL),目标路径选择共享文件夹的网络路径,选择一个合适的桌面图标,点击应用,点击确定。
快捷方式创建完成,如下图:
刷新组策略,注销重新登录桌面,查看桌面上是否有新增快捷方式。
17、配置Chrome浏览器重定向
下载chrome的gpo文件
\192.168.20.73\ShareHub\VMware\Installation Package-VMware-Horizon-View\VMware-Horizon-View 2111\chrome.adm
进入到组策略管理器,依次展开用户配置-策略,在管理模板上右键,添加/删除模板,点击添加,选择chrome.adm文件。
18、检查客户端下发的组策略
在客户端机器上打开CMD
输入以下内容:gpresult /h C:\report.html
检查报告内容
使用命令:rsop.msc 也可以查看客户端获取到组策略。
注意事项:
以上组策略更改完成之后,需要在域控服务器上刷新组策略:gpupdate /force,注销或者重启所有桌面生效。
若有收获,就点个赞吧
0 人点赞
