VDI中的桌面配置、调优、个性化定制等,一定绕不开策略,这是因为我们通常使用的是Windows的桌面OS决定的。
Windows计算机本身就有计算机策略和用户策略,加入了AD域之后,还多了组策略,用于批量设置。
策略内容分析
要配置的策略大概有以下几种类型。
一、系统优化刚需
- Profile策略
- 计算机策略
- 用户策略
- 个性化应用策略(如特定应用可能需要定时器)
二、重定向
- OS中本身可配置重定向的(桌面/文档/收藏/下载……)
三、网盘
- Homedata(网盘)
第一类刚需策略通常在Ad中通过组策略调整。
重点讨论第二类和第三类需求。它们产生的原因,是来自于项目中架构设计中的决定——把一部分数据存储到nas网络路径。
也有项目使用本地San,而不是重定向到Nas的方式。
重定向到Nas的好处是和操作系统的解耦程度更高,并可通过存储提供一些额外功能(快照,重删等),缺点是后续的迁移不灵活。基于OU或Group发策略
标准配置方式通常如下图所示。
我们知道,要先在AD上的组策略管理器中创建组策略对象(Group Policy Object,GPO),然后把它链接到相应的OU,才会起效。
同时组策略的生效有优先级的关系。首先是域策略优先级高于本地计算机策略,其次,层级越具体,加载顺序越靠后,也就是生效概率越高。比如,图中,如果gpoA和gpo甲中冲突的地方,那么gpo甲中的相应设置会生效。
以上是我们最经典、最常见的配置方式,它选择了使用组织结构这个顺序来组织、罗列出所有的Ad用户,符合人的思考逻辑顺序。我们运维中找部门人员、或检查GPO等,自然而然会这样一层层展开OU找。把GPO按需配置在合适的深度,有利于测试和排错。
在链接的时候,AD有安全筛选组功能。有了安全组——我们可以进行更灵活的配置。
AD中的组(Group)允许我们选用任意的维度来挑选一批用户,尽管它不像OU那样有可视化的树形结构图,但在灵活性方面却无疑有极大的优势,很像各类软件中常见的标签功能。
以VDI项目设计为例,我们给用户分配桌面、分发应用、管理网络权限等等,都需要用到Group,这是满足不同维度的需求所需要依赖的工具。
那么,在链接GPO时,用上安全筛选组的功能,会怎么样呢?我的理解是,除非我们出于特定的管理需要,或者想要变更默认的GPO生效顺序,才可能会用到这个功能。让我们根据下图来说。
这次,gpo甲、乙、丙都被链接到了公司这个OU,同时添加了安全筛选组。gpo甲中关联的安全组,其成员就是小组甲OU下的3名用户。同理,gpo乙对应小组乙下的用户,gpo丙对应小组丙下的用户。
这种设置,同样可以让gpo中定义的策略生效到希望生效的用户上。但是,GPO甲、乙、丙的作用位置发生了改变,尤其是和gpoA的顺序关系完全相反。
我认为,除非是这是一种特别的设计,否则并没有必要这么做,因为降低了直观性,但没有明显的收益。
结合VDI软件的实战应用
理论上,全部通过AD的组策略来做VDI的优化VDI软件,但它的效果不足够好。VDI软件厂商,如Citrix、Vmware有自己的管理策略的解决方案产品,于是,我们经常在实战中把微软的工具和VDI软件自带的工具结合起来使用。
下面以Horizon DEM举例。
左边的这些都是DEM常见的策略配置项目,选中一条,点Edit,选中Condition选项卡,点Add,如下图。
可以看到有非常多可以选择的字段,我们在DC上绝没有这么多的选择。其中就有基于OU的,也有基于Group的。
现在,我们的武器库中有了两种兵器。一个是原生的AD系统在Domain Controller中自带的管理工具,一个是VDI软件提供的解决方案。后者相当于是增强型外挂,虽不能完全取代原生工具,但也有独特优势。
具体落实到项目,关于重定向和网盘需求,好几种排列组合我都见过。它们只是工具选择上有区分,对运维方式有影响,效果则没有明显区别。
| 桌面/文档/下载…… | H盘 | |
|---|---|---|
| group @ Dem | 方案1 | 未测 |
| ou @ Dem | 方案2 | 未测 |
| ou @ DC | 方案3 | 方案1、方案2、方案3 |
另外,有时在实际环境中调试可能出现不兼容,另一种手段就是变通之法。