10XXX桌面云平臺實施方案201X年X目 錄1.11.2

概述 工程背景 4工程目標 4其次章2.1.12.1.22.1.32.1.4第三章

平臺實施方案 5硬件根底環境安裝 5虛擬桌面組件效勞器部署 6標準鏡像制作 7用戶創立和桌面發放 7工程實施安排 13實施打算 13工程實施時間打算 13工程人員 14工程治理/質量治理 144.14.24.3

測試及驗收 15平臺測試 15系統初驗 16系統終驗 16文檔編號版本編號 V0.1

密級日期

商業機密第一章 概述工程背景公桌面云環境。由于電子教室電腦和行政辦公人員PC數目的不斷增加，網管人員的工作負荷呈幾何級數增長。治理PC始終麻煩，病毒、木馬入侵和沒完沒了的應用軟件升級、操作系統補丁及反威逼更更是讓這項工作困難重重。即便有基于網絡的安裝和補丁治理工具來減輕負擔，學校IT部門還是把太多時間花到了桌面上，處理個人軟件、多個版本的ActiveX控件、驅動程DLL桌面云技術可以在數據中心集中應用軟件，從而簡化治理及配置――充分利用硬件資源、桌面云技術可以在數據中心集中應用軟件，從而簡化治理及配置――充分利用硬件資源、用電腦時也不會為失去“自己的”桌面而悲嘆。工程目標本次工程需要在XX使用即可，本期建設席位數量為：500500XX絡、存儲資源的運維體系建設，桌面云需要實現與XX大學現有校園用戶身份認證平臺的統一認證與登錄，并為將來二期擴容做好預備。有不同的應用軟件或應用及操作系統配置，如：學科教學軟件，數字模擬軟件、辦公軟件、XX其次章 平臺實施方案硬件根底環境安裝效勞器設備安裝配置效勞器上電檢查配置BIOSUTC+8:00beijing，chongqing，urumqi調整BIOS時間與北京時間同步將本地磁盤配置為Raid1ESXiserver6存儲安裝配置SAN存儲設備上電檢查，登錄存儲治理界面配置SAN存儲設備系統創立Raid，劃分LUNLUNLUNLUN功能IP地址OS組件鏡像效勞器VDI01VDI01虛擬桌面池1VDI02虛擬桌面池2FileServer文件效勞器ESXi網絡設備安裝配置交換機設備上電檢查交換機網絡連接安裝配置治理IPDHCP配置需要DHCPIP地址。設備標簽本次工程中標簽工作依據公司相關設備標簽標準制定。效勞器標簽統一命名為VDI-VMHOST0X交換機命名為VDI-VMSW0X各設備的端口編號依據實際端口編號命名虛擬桌面組件效勞器部署View整個View桌面虛擬化架構所需要部署的組件如下：AD：ViewViewvSphere(ESX/ESXi)：后臺虛擬機支撐架構vCenterServer：虛擬機治理平臺ViewConnectionServer：虛擬桌面交付和治理效勞器ViewComposer：虛擬桌面克隆效勞器ViewAgentOSViewClientView標準鏡像制作根底架構在系統的安裝，以及上層軟件的調測工作。用戶創立和桌面發放域用戶配置AD桌面云平臺使用AD以為桌面虛擬化系統單獨使用身份驗證與原有業務系統完全分別治理實時性、可治理性都稍稍遜色。治理職能我們會使用AD和計算的行為，限制他們的使用功能范圍從而到達保護我們內網數據的目的。AD〔lt以下簡稱U內，每個OU為一個最小的組策略治理單位，即每個部門有屬于自己獨立的治理策略。如此解決特別性的策略指定。具體策略指定范圍還需要進一步調查爭論。用戶分類在桌面虛擬化層面主要把用戶分為以下三大類。一般用戶一般用戶通常在固定的計算機設備上使用少數應用程序執行重復的任務CPU問OA任務型員工可能會在同一時間登錄虛擬桌面超級用戶超級用戶包括平臺治理用戶。用戶權限DomainUser和RemoteDesktopUsers兩種權限，總體權限較低。超級用戶在域中的權限為DomainAdmins和RemoteDesktopUsers外授權用戶。AD桌面參加域后存放的容器。如此可以對虛擬桌面計算機進展治理。平臺策略設置和優化AD通過MicrosoftActiveDirectory效的提高了虛擬桌面的可治理性同時又降低了治理的難度。PCoIP用戶治理策略對于用域內用戶的治理暫定默認開啟以下治理策略，包括但不限于以下策略：序號 策略 狀態 描述防止用戶依據需要更改其Windows刪“修改密碼”開啟 Ctrl+Alt+Del時，會消滅此按鈕)。

備注直接登錄桌面接Internet資源的任務。全部移動存儲3 限接Internet資源的任務。全部移動存儲3 限開啟任何可移動存儲類的權限。

指定Windows是否可以訪問 Internet來完成需要 禁止部分用戶訪問Internet內網機要數據防止用戶使用常見方法添加本地打印機及網絡打印機。 制止全部用戶擅自連接打阻擋添加打印機 開啟 戶同樣不能通過將打印機圖標拖放到“打印機”文件夾的方式來添加打印機。假設這樣做，會顯示一條消息，印機，則無法打印。除程序”

掌握面板”刪除“添加或刪除程序”并從菜單刪除“添加或刪除程序”工程。除程序”允許用戶安裝、卸載、修復、添加和刪除 Windows功能和組件以及多種多樣的開啟 Windows程序已公布或安排給用戶的程序消滅“添加或刪除程序”中。置。序。

任何軟件6阻擋訪問注冊表6編輯工具 開啟7 Windows自動 更虛擬桌面治理策略

私自編輯桌面注禁用Windows注冊表編輯器Regedit.exe。 冊表阻擋用戶更Windows所產生的系統垃圾的產生此設置掌握自動更用戶計算機。每當用戶連接到Internet時，Windows就會搜尋用此操作在后臺發生，依據配置的具體狀況，在下載的組件預備好安裝時或在下載之前，用戶會得到提示。啟用此設置，它將制止Windows搜尋更。對于用域內虛擬桌面計算機的治理暫定默認開啟以下治理策略，包括但不限于以下策略：序號序號策略狀態描述備注密碼復雜性策 略強制密

兩個連續字符的局部包含至少六個字符英文大寫字母〔AZ〕英文小寫字母〔a到z〕10〔0到9)〔例如!$#%〕此安全設置確定再次使用某個舊密碼之前必需與某個用戶帳戶

全性此策略能夠通過確保舊密碼歷史帳戶鎖定閾值帳戶鎖定時間允許使用下列設備安

開啟 用的連續三個密碼作為密碼。確定導致用戶帳戶被鎖定的登錄嘗試失敗的次數。在開啟 定帳戶或帳戶鎖定時間期滿之前，無法使用該鎖定5開啟 定鎖定帳戶在自動解鎖之前保持鎖定的分鐘數。當前設置為10分鐘使用此策略設置可以指定允許Windows安裝的設備驅動程序設置。制止設備安裝的其他策略設置優先于此策略設置。

碼不被連續重使用來增強安全性。連續的窮舉軟件攻擊只允許公司內部認證的USB設備驅動程序安裝到虛擬桌面內部裝程序 類相匹配的驅動程序的安裝禁止安裝未由其它策 略設置描述的設備禁止安裝可移 動設備

的設備。使用此策略設置可以制止Windows為可移動設備。例如，設備連接到的USB集線器的驅動程序報告某個通用串行總線(USB)設備是可移動設備。此策略設置優先于任何其他允許Windows安裝設備的策略設置。

協作上調策略協作屏蔽掉全部未經過認證的全部USB在桌面層屏蔽掉全部USB可移動設備的連接，有效的保護內網機要數據的外流關閉系統復原

開啟 允許禁用“系統復原。

創立桌面池與桌面發放依據資源需求和模板需求，必要時需要進展資源開通審批。審批完成后，治理員開頭用戶桌面環境的發放。具體步驟如下：在平臺AD域中建立/查找用戶的賬號。安排用戶對應的網絡磁盤空間，設定用戶所在用戶組安全策略。在用戶對應的桌面池中，進展用戶權限指派。并提示用戶初始化賬號密碼信息。第三章 工程實施安排實施打算任務名稱工期任務名稱工期開頭時間完成時間系統集成測試及培訓5系統上線3個工作日系統優化及桌面數據遷移8工程啟動階段5個工作日硬件及機房環境20個工作日物理資源池建設6個工作日虛擬資源池建設5個工作日桌面云平臺搭建分發15個工作日備注：此在藍圖階段，需要雙方協調和協作完成后續的工作內容。工程啟動時間，取決于本次合同的簽署時間。工程實施中，乙方將和甲方一起完成具體工程打算的制定。工程人員3名，包括PM1名，桌面云架構專家1名，效勞器/網絡專家11名。資源名稱如下表所示：類型工作方式工程經理/實施/現場/網絡工程師實施現場桌面云架構專家實施現場平臺測試工程師測試/現場/質量治理XX公司具有在中國供給專業效勞的豐富閱歷，在供給專業效勞的過程中，XX進展了一套被稱為“XX方法－工程治理”的方法論。在美國工程治理協會提出的工程治理學問體系PMBOK〔theProjectManagementInstitute”sBodyofKnowledge〕的根底上，XX公司提出了針對工程治理的方法論，并且在實施運用中綜合全球XX工程治理精英的閱歷，不斷地進展此方法論。由XX在全球范圍內推廣應用工程治理GlobalMethod。此套方法論參照并遵循ISO質量體系。GlobalMethod工程治理方法論為XX工程治理人員供給了標準的治理工具。工程治理是貫穿整個工程過程的重要任務。XX大學電子教室工程經理協作XX公司工程有關方面的相互溝通。XX公司工程經理將完成下述任務：建立工程的階段審核點制定工程打算指揮、指導、建議、治理工程活動打算日常事務制定培訓及后勤打算匯報工程的狀況和進展，如有需要，建議改進措施幫助甲方通報、解決消滅的問題治理工程變更過程合理安排工程人員打算、組織系統集成的執行/變更治理/組織方面等問題定期向工程的上級領導匯報負責所供給的效勞質量查找、協調和定義工程組每一成員的職責第四章測試及驗收平臺測試試。可以順暢運轉，實現了需求中所需的各項功能。系統初驗一旦全部系統完成系統測試，整個系統將進入驗收測試階段，XX工程小組將和客戶技術人員一起在一周內完成整個系統的初