Lab 05 使用XenApp发布Win7体验的共享桌面

admin

第1章 基本过程及要点
1.1 基本过程
本章节介绍了使用XenApp 6.5 发布Win7体验的共享桌面的基本过程。其包括了：
•        环境检查
•        发布共享桌面给用户
•        使用脚本创建组策略对象
•        对XenApp服务器设置并应用相应的策略
•        验证Win7体验以及生效

1.2 环境检查
本章节开始前，请确认以下前提条件均已完备:
1.        活动目录和XenApp工作正常，发布应用和访问发布的应用正常。
2.        XenApp版本至少为为6.5
3.        在活动目录中，XenApp服务器已经到专门的OU中。如果没有专门的OU，请建立一个XenApp OU，并且将用到的XenApp服务器（此LAB中为CTXXA）账号移到该OU中。
4.        确保XenApp服务器的Windows补丁已经升级到最新版本。


第2章 发布共享桌面给用户
2.1 具体步骤
1.        打开Citrix AppCenter
2.        找到 应用程序 节点，选择发布应用程序

501

3.        然后依照向导，分别输入名称：Shared Desktop，发布类型，服务器和用户等信息。类型必须选择Server Desktop。用户可以选择 Domain Users（发布给所有用户）。

502

4.        确认以后，观察新发布的Shared Desktop已经出现在应用程序节点。
5.        关闭管理控制台。

2.2 配置完成确认

1.        从管理客户端的Win7工作站，登录Web Interface，并以普通用户(如：User01)登录，可以看到发布的共享桌面。
2.        登录以后，可以看到基本桌面主题的2008桌面。类似下图

503

第3章 使用脚本准备Win 7主题及组策略
3.1 简介
本章使用XenApp 6.5自带的一系列脚本，来安装和配置所需组件，并创建配置所需要的组策略对象。
脚本位于XenApp服务器的: C:\Program Files (x86)\Citrix\App Delivery Setup Tools

主要脚本包括：
Install-CtxDesktopExperience.ps1
•        安装桌面体验组件和XPS Viewer
•        移动 Citrix Administration tools目录
•        创建新的Windows主题和缺省墙纸
•        启动桌面主题服务，并将其设置为自动启动  
CommonDesktopExperience.ps1
•        将主题服务设置为自动并启动该服务，
•        Backs up existing user tile and copies a new user tile to user.jpg
New-CtxManagedDesktopGPO.ps1
•        此脚本和Win7外观关系不大
•        创建了组策略对象（GPO），以方便锁定一些安全配置和个性化选项，提供一个更为安全的共享桌面环境
Enable-CtxDesktopExperienceUser.ps1
•        定制Taskbar
•        去除服务器管理和PowerShell的连接
•        添加IE和媒体播放器的链接
•        通过GPO在登陆时候加载

注：XA 6.5自带的Enable-CtxDesktopExperienceUser.ps1无法在非英语环境正常工作，请使用下面的附件替代。
http://support.citrix.com/article/CTX130208



3.2 具体步骤
3.2.1 确认CTXXA服务器在AD活动目录中已经移动到对应的XenApp OU组织单元中

3.2.2 修改PowerShell执行策略
1.        首先，切换为以域管理员身份登录XenApp服务器，以保证有足够的权限在Active Directory创建相应的对象和GPO。（再三强调，非常重要）
2.        打开PowerShell窗口，选择Windows PowerShell Modules

504

3.        执行Set-ExecutionPolicy AllSigned，选择 Y

505

3.2.3 执行Install-CtxDesktopExperience.ps1 安装和配置桌面体验
1.        继续运行Powershell，定位到C:\Program Fiels(x86)\citrix\App Delivery Setup Tools\
2.        运行.\Install-CtxDesktopExpericense.ps1
注：该脚本会运行并配置桌面用户体验。等待脚本运行完成。


3.        打开2008的“服务器管理”控制台，找到安装组件的节点确认“桌面体验”（Desktop Experience）组件已经安装成功（如下图所示）。

507

3.2.4 使用脚本创建组策略对象
1.        使用前面相同的方法，执行剩余脚本：
New-CtxManagedDesktopGPO.ps1
CommonDesktopExperience.ps1
Enable-CtxDesktopExperienceUser.ps1
New-CtxTheme.ps1

2.        确认脚本正确创建了相应的对象
打开组策略管理控制台，观察下列组策略对象已经创建：

其中，CtxRestritedComputer为计算机策略，其余3条为用户策略

3.        将策略链接到XenApp所在的OU，

a)        选中CtxPersonalizableUser，拖拽到XenApp所在OU以链接此策略，
b)        选中CtxRestrictUser, CtxStartMenuTastbarUser，重复上面的动作，

509

4.        对于3条用户策略，应用组环回 “替换”策略：
a)        编辑每条策略，
b)        展开“计算机配置 ->策略 -> 管理模版 ->系统 ->组策略
c)        将用户组策略环回处理模式：启用，模式选择为“替换”
d)        重复上面操作在所有4个组策略上。

注：针对PersoanlizableUser和 RestrictedUser策略对象，可以对特定用户组，增加筛选以应用在需要的用户组上。


5.        防止从“我的电脑”访问驱动器
a)        编辑策略，PersoanlizableUser，
b)        展开“用户配置 -> 策略 –> 管理模版 -> Windows组件 –> Windows 资源管理器”
c)        将隐藏我的电脑中的这些指定的驱动器设置为已启用，在选择下列组合中的一个：仅限制驱动器A,B,C和D
d)        将防止从“我的电脑”访问驱动器 设置为 已启用，在选择下列组合中的一个：仅限制驱动器A,B,C和D

511

6.        将管理员排除在这条限制策略外，确保管理员不受限制：
a)        在组策略对象节点找到相应的用户策略对象，如CtxStartMenuTaskbarUser
b)        点击委派
c)        点击高级
d)        点击Domain Admins
e)        在应用组策略，勾选：拒绝
f)        添加CTX管理员账号或对应组，xaadmin
g)        在应用组策略，勾选：拒绝
h)        重复以上操作在所有4个组策略。


7.        使策略生效
a)        使用与管理员登陆XenApp服务器，打开命令行窗口，运行如下命令：
gpupdate /force
b)        刷新完成后，重启XenApp，以确保所配置组策略生效。

第4章 验证Win7主题体验生效
用普通用户登录，打开SharedDesktop，应该看到类似Win7的桌面风格，类似下图：

并且，当配置了用户限制策略，普通用户登录时，其访问系统的一些系统功能会受限制，以保护XenApp服务器的安全。

第5章 简易排错
1.        如果用户账号能登陆，但完全没有显示Windows 7共享桌面，使用gpresult /v 命令导出，检查本账号已经应用了对应的GPO。


2.        如果用户账户登陆，部分显示Windows 7共享桌面，其他部分仍然是旧有界面。注销账户后，在对应的XENAPP服务器上删除此账户的Profile，然后再重新登陆。