桌面云项目实施方案

10XXX桌面云平台实施方案201X年X目 录1.11.2

概述 工程背景 4工程目标 4其次章2.1.12.1.22.1.32.1.4第三章

平台实施方案 5硬件根底环境安装 5虚拟桌面组件效劳器部署 6标准镜像制作 7用户创立和桌面发放 7工程实施安排 13实施打算 13工程实施时间打算 13工程人员 14工程治理/质量治理 144.14.24.3

测试及验收 15平台测试 15系统初验 16系统终验 16文档编号版本编号 V0.1

密级日期

商业机密第一章 概述工程背景公桌面云环境。由于电子教室电脑和行政办公人员PC数目的不断增加，网管人员的工作负荷呈几何级数增长。治理PC始终麻烦，病毒、木马入侵和没完没了的应用软件升级、操作系统补丁及反威逼更更是让这项工作困难重重。即便有基于网络的安装和补丁治理工具来减轻负担，学校IT部门还是把太多时间花到了桌面上，处理个人软件、多个版本的ActiveX控件、驱动程DLL桌面云技术可以在数据中心集中应用软件，从而简化治理及配置――充分利用硬件资源、桌面云技术可以在数据中心集中应用软件，从而简化治理及配置――充分利用硬件资源、用电脑时也不会为失去“自己的”桌面而悲叹。工程目标本次工程需要在XX使用即可，本期建设席位数量为：500500XX络、存储资源的运维体系建设，桌面云需要实现与XX大学现有校园用户身份认证平台的统一认证与登录，并为将来二期扩容做好预备。有不同的应用软件或应用及操作系统配置，如：学科教学软件，数字模拟软件、办公软件、XX其次章 平台实施方案硬件根底环境安装效劳器设备安装配置效劳器上电检查配置BIOSUTC+8:00beijing，chongqing，urumqi调整BIOS时间与北京时间同步将本地磁盘配置为Raid1ESXiserver6存储安装配置SAN存储设备上电检查，登录存储治理界面配置SAN存储设备系统创立Raid，划分LUNLUNLUNLUN功能IP地址OS组件镜像效劳器VDI01VDI01虚拟桌面池1VDI02虚拟桌面池2FileServer文件效劳器ESXi网络设备安装配置交换机设备上电检查交换机网络连接安装配置治理IPDHCP配置需要DHCPIP地址。设备标签本次工程中标签工作依据公司相关设备标签标准制定。效劳器标签统一命名为VDI-VMHOST0X交换机命名为VDI-VMSW0X各设备的端口编号依据实际端口编号命名虚拟桌面组件效劳器部署View整个View桌面虚拟化架构所需要部署的组件如下：AD：ViewViewvSphere(ESX/ESXi)：后台虚拟机支撑架构vCenterServer：虚拟机治理平台ViewConnectionServer：虚拟桌面交付和治理效劳器ViewComposer：虚拟桌面克隆效劳器ViewAgentOSViewClientView标准镜像制作根底架构在系统的安装，以及上层软件的调测工作。用户创立和桌面发放域用户配置AD桌面云平台使用AD以为桌面虚拟化系统单独使用身份验证与原有业务系统完全分别治理实时性、可治理性都稍稍逊色。治理职能我们会使用AD和计算的行为，限制他们的使用功能范围从而到达保护我们内网数据的目的。AD〔lt以下简称U内，每个OU为一个最小的组策略治理单位，即每个部门有属于自己独立的治理策略。如此解决特别性的策略指定。具体策略指定范围还需要进一步调查争论。用户分类在桌面虚拟化层面主要把用户分为以下三大类。一般用户一般用户通常在固定的计算机设备上使用少数应用程序执行重复的任务CPU问OA任务型员工可能会在同一时间登录虚拟桌面超级用户超级用户包括平台治理用户。用户权限DomainUser和RemoteDesktopUsers两种权限，总体权限较低。超级用户在域中的权限为DomainAdmins和RemoteDesktopUsers外授权用户。AD桌面参加域后存放的容器。如此可以对虚拟桌面计算机进展治理。平台策略设置和优化AD通过MicrosoftActiveDirectory效的提高了虚拟桌面的可治理性同时又降低了治理的难度。PCoIP用户治理策略对于用域内用户的治理暂定默认开启以下治理策略，包括但不限于以下策略：序号 策略 状态 描述防止用户依据需要更改其Windows删“修改密码”开启 Ctrl+Alt+Del时，会消灭此按钮)。

备注直接登录桌面接Internet资源的任务。全部移动存储3 限接Internet资源的任务。全部移动存储3 限开启任何可移动存储类的权限。

指定Windows是否可以访问 Internet来完成需要 禁止部分用户访问Internet内网机要数据防止用户使用常见方法添加本地打印机及网络打印机。 制止全部用户擅自连接打阻挡添加打印机 开启 户同样不能通过将打印机图标拖放到“打印机”文件夹的方式来添加打印机。假设这样做，会显示一条消息，印机，则无法打印。除程序”

掌握面板”删除“添加或删除程序”并从菜单删除“添加或删除程序”工程。除程序”允许用户安装、卸载、修复、添加和删除 Windows功能和组件以及多种多样的开启 Windows程序已公布或安排给用户的程序消灭“添加或删除程序”中。置。序。

任何软件6阻挡访问注册表6编辑工具 开启7 Windows自动 更虚拟桌面治理策略

私自编辑桌面注禁用Windows注册表编辑器Regedit.exe。 册表阻挡用户更Windows所产生的系统垃圾的产生此设置掌握自动更用户计算机。每当用户连接到Internet时，Windows就会搜寻用此操作在后台发生，依据配置的具体状况，在下载的组件预备好安装时或在下载之前，用户会得到提示。启用此设置，它将制止Windows搜寻更。对于用域内虚拟桌面计算机的治理暂定默认开启以下治理策略，包括但不限于以下策略：序号序号策略状态描述备注密码复杂性策 略强制密

两个连续字符的局部包含至少六个字符英文大写字母〔AZ〕英文小写字母〔a到z〕10〔0到9)〔例如!$#%〕此安全设置确定再次使用某个旧密码之前必需与某个用户帐户

全性此策略能够通过确保旧密码历史帐户锁定阈值帐户锁定时间允许使用下列设备安

开启 用的连续三个密码作为密码。确定导致用户帐户被锁定的登录尝试失败的次数。在开启 定帐户或帐户锁定时间期满之前，无法使用该锁定5开启 定锁定帐户在自动解锁之前保持锁定的分钟数。当前设置为10分钟使用此策略设置可以指定允许Windows安装的设备驱动程序设置。制止设备安装的其他策略设置优先于此策略设置。

码不被连续重使用来增强安全性。连续的穷举软件攻击只允许公司内部认证的USB设备驱动程序安装到虚拟桌面内部装程序 类相匹配的驱动程序的安装禁止安装未由其它策 略设置描述的设备禁止安装可移 动设备

的设备。使用此策略设置可以制止Windows为可移动设备。例如，设备连接到的USB集线器的驱动程序报告某个通用串行总线(USB)设备是可移动设备。此策略设置优先于任何其他允许Windows安装设备的策略设置。

协作上调策略协作屏蔽掉全部未经过认证的全部USB在桌面层屏蔽掉全部USB可移动设备的连接，有效的保护内网机要数据的外流关闭系统复原

开启 允许禁用“系统复原。

创立桌面池与桌面发放依据资源需求和模板需求，必要时需要进展资源开通审批。审批完成后，治理员开头用户桌面环境的发放。具体步骤如下：在平台AD域中建立/查找用户的账号。安排用户对应的网络磁盘空间，设定用户所在用户组安全策略。在用户对应的桌面池中，进展用户权限指派。并提示用户初始化账号密码信息。第三章 工程实施安排实施打算任务名称工期任务名称工期开头时间完成时间系统集成测试及培训5系统上线3个工作日系统优化及桌面数据迁移8工程启动阶段5个工作日硬件及机房环境20个工作日物理资源池建设6个工作日虚拟资源池建设5个工作日桌面云平台搭建分发15个工作日备注：此在蓝图阶段，需要双方协调和协作完成后续的工作内容。工程启动时间，取决于本次合同的签署时间。工程实施中，乙方将和甲方一起完成具体工程打算的制定。工程人员3名，包括PM1名，桌面云架构专家1名，效劳器/网络专家11名。资源名称如下表所示：类型工作方式工程经理/实施/现场/网络工程师实施现场桌面云架构专家实施现场平台测试工程师测试/现场/质量治理XX公司具有在中国供给专业效劳的丰富阅历，在供给专业效劳的过程中，XX进展了一套被称为“XX方法－工程治理”的方法论。在美国工程治理协会提出的工程治理学问体系PMBOK〔theProjectManagementInstitute”sBodyofKnowledge〕的根底上，XX公司提出了针对工程治理的方法论，并且在实施运用中综合全球XX工程治理精英的阅历，不断地进展此方法论。由XX在全球范围内推广应用工程治理GlobalMethod。此套方法论参照并遵循ISO质量体系。GlobalMethod工程治理方法论为XX工程治理人员供给了标准的治理工具。工程治理是贯穿整个工程过程的重要任务。XX大学电子教室工程经理协作XX公司工程有关方面的相互沟通。XX公司工程经理将完成下述任务：建立工程的阶段审核点制定工程打算指挥、指导、建议、治理工程活动打算日常事务制定培训及后勤打算汇报工程的状况和进展，如有需要，建议改进措施帮助甲方通报、解决消灭的问题治理工程变更过程合理安排工程人员打算、组织系统集成的执行/变更治理/组织方面等问题定期向工程的上级领导汇报负责所供给的效劳质量查找、协调和定义工程组每一成员的职责第四章测试及验收平台测试试。可以顺畅运转，实现了需求中所需的各项功能。系统初验一旦全部系统完成系统测试，整个系统将进入验收测试阶段，XX工程小组将和客户技术人员一起在一周内完成整个系统的初