桌面云項目實施方案

10XXX桌面云平臺實施方案201X年X目 錄1.11.2

概述 工程背景 4工程目標(biāo) 4其次章2.1.12.1.22.1.32.1.4第三章

平臺實施方案 5硬件根底環(huán)境安裝 5虛擬桌面組件效勞器部署 6標(biāo)準(zhǔn)鏡像制作 7用戶創(chuàng)立和桌面發(fā)放 7工程實施安排 13實施打算 13工程實施時間打算 13工程人員 14工程治理/質(zhì)量治理 144.14.24.3

測試及驗收 15平臺測試 15系統(tǒng)初驗 16系統(tǒng)終驗 16文檔編號版本編號 V0.1

密級日期

商業(yè)機(jī)密第一章 概述工程背景公桌面云環(huán)境。由于電子教室電腦和行政辦公人員PC數(shù)目的不斷增加，網(wǎng)管人員的工作負(fù)荷呈幾何級數(shù)增長。治理PC始終麻煩，病毒、木馬入侵和沒完沒了的應(yīng)用軟件升級、操作系統(tǒng)補(bǔ)丁及反威逼更更是讓這項工作困難重重。即便有基于網(wǎng)絡(luò)的安裝和補(bǔ)丁治理工具來減輕負(fù)擔(dān)，學(xué)校IT部門還是把太多時間花到了桌面上，處理個人軟件、多個版本的ActiveX控件、驅(qū)動程DLL桌面云技術(shù)可以在數(shù)據(jù)中心集中應(yīng)用軟件，從而簡化治理及配置――充分利用硬件資源、桌面云技術(shù)可以在數(shù)據(jù)中心集中應(yīng)用軟件，從而簡化治理及配置――充分利用硬件資源、用電腦時也不會為失去“自己的”桌面而悲嘆。工程目標(biāo)本次工程需要在XX使用即可，本期建設(shè)席位數(shù)量為：500500XX絡(luò)、存儲資源的運(yùn)維體系建設(shè)，桌面云需要實現(xiàn)與XX大學(xué)現(xiàn)有校園用戶身份認(rèn)證平臺的統(tǒng)一認(rèn)證與登錄，并為將來二期擴(kuò)容做好預(yù)備。有不同的應(yīng)用軟件或應(yīng)用及操作系統(tǒng)配置，如：學(xué)科教學(xué)軟件，數(shù)字模擬軟件、辦公軟件、XX其次章 平臺實施方案硬件根底環(huán)境安裝效勞器設(shè)備安裝配置效勞器上電檢查配置BIOSUTC+8:00beijing，chongqing，urumqi調(diào)整BIOS時間與北京時間同步將本地磁盤配置為Raid1ESXiserver6存儲安裝配置SAN存儲設(shè)備上電檢查，登錄存儲治理界面配置SAN存儲設(shè)備系統(tǒng)創(chuàng)立Raid，劃分LUNLUNLUNLUN功能IP地址OS組件鏡像效勞器VDI01VDI01虛擬桌面池1VDI02虛擬桌面池2FileServer文件效勞器ESXi網(wǎng)絡(luò)設(shè)備安裝配置交換機(jī)設(shè)備上電檢查交換機(jī)網(wǎng)絡(luò)連接安裝配置治理IPDHCP配置需要DHCPIP地址。設(shè)備標(biāo)簽本次工程中標(biāo)簽工作依據(jù)公司相關(guān)設(shè)備標(biāo)簽標(biāo)準(zhǔn)制定。效勞器標(biāo)簽統(tǒng)一命名為VDI-VMHOST0X交換機(jī)命名為VDI-VMSW0X各設(shè)備的端口編號依據(jù)實際端口編號命名虛擬桌面組件效勞器部署View整個View桌面虛擬化架構(gòu)所需要部署的組件如下：AD：ViewViewvSphere(ESX/ESXi)：后臺虛擬機(jī)支撐架構(gòu)vCenterServer：虛擬機(jī)治理平臺ViewConnectionServer：虛擬桌面交付和治理效勞器ViewComposer：虛擬桌面克隆效勞器ViewAgentOSViewClientView標(biāo)準(zhǔn)鏡像制作根底架構(gòu)在系統(tǒng)的安裝，以及上層軟件的調(diào)測工作。用戶創(chuàng)立和桌面發(fā)放域用戶配置AD桌面云平臺使用AD以為桌面虛擬化系統(tǒng)單獨(dú)使用身份驗證與原有業(yè)務(wù)系統(tǒng)完全分別治理實時性、可治理性都稍稍遜色。治理職能我們會使用AD和計算的行為，限制他們的使用功能范圍從而到達(dá)保護(hù)我們內(nèi)網(wǎng)數(shù)據(jù)的目的。AD〔lt以下簡稱U內(nèi)，每個OU為一個最小的組策略治理單位，即每個部門有屬于自己獨(dú)立的治理策略。如此解決特別性的策略指定。具體策略指定范圍還需要進(jìn)一步調(diào)查爭論。用戶分類在桌面虛擬化層面主要把用戶分為以下三大類。一般用戶一般用戶通常在固定的計算機(jī)設(shè)備上使用少數(shù)應(yīng)用程序執(zhí)行重復(fù)的任務(wù)CPU問OA任務(wù)型員工可能會在同一時間登錄虛擬桌面超級用戶超級用戶包括平臺治理用戶。用戶權(quán)限D(zhuǎn)omainUser和RemoteDesktopUsers兩種權(quán)限，總體權(quán)限較低。超級用戶在域中的權(quán)限為DomainAdmins和RemoteDesktopUsers外授權(quán)用戶。AD桌面參加域后存放的容器。如此可以對虛擬桌面計算機(jī)進(jìn)展治理。平臺策略設(shè)置和優(yōu)化AD通過MicrosoftActiveDirectory效的提高了虛擬桌面的可治理性同時又降低了治理的難度。PCoIP用戶治理策略對于用域內(nèi)用戶的治理暫定默認(rèn)開啟以下治理策略，包括但不限于以下策略：序號 策略 狀態(tài) 描述防止用戶依據(jù)需要更改其Windows刪“修改密碼”開啟 Ctrl+Alt+Del時，會消滅此按鈕)。

備注直接登錄桌面接Internet資源的任務(wù)。全部移動存儲3 限接Internet資源的任務(wù)。全部移動存儲3 限開啟任何可移動存儲類的權(quán)限。

指定Windows是否可以訪問 Internet來完成需要 禁止部分用戶訪問Internet內(nèi)網(wǎng)機(jī)要數(shù)據(jù)防止用戶使用常見方法添加本地打印機(jī)及網(wǎng)絡(luò)打印機(jī)。 制止全部用戶擅自連接打阻擋添加打印機(jī) 開啟 戶同樣不能通過將打印機(jī)圖標(biāo)拖放到“打印機(jī)”文件夾的方式來添加打印機(jī)。假設(shè)這樣做，會顯示一條消息，印機(jī)，則無法打印。除程序”

掌握面板”刪除“添加或刪除程序”并從菜單刪除“添加或刪除程序”工程。除程序”允許用戶安裝、卸載、修復(fù)、添加和刪除 Windows功能和組件以及多種多樣的開啟 Windows程序已公布或安排給用戶的程序消滅“添加或刪除程序”中。置。序。

任何軟件6阻擋訪問注冊表6編輯工具 開啟7 Windows自動 更虛擬桌面治理策略

私自編輯桌面注禁用Windows注冊表編輯器Regedit.exe。 冊表阻擋用戶更Windows所產(chǎn)生的系統(tǒng)垃圾的產(chǎn)生此設(shè)置掌握自動更用戶計算機(jī)。每當(dāng)用戶連接到Internet時，Windows就會搜尋用此操作在后臺發(fā)生，依據(jù)配置的具體狀況，在下載的組件預(yù)備好安裝時或在下載之前，用戶會得到提示。啟用此設(shè)置，它將制止Windows搜尋更。對于用域內(nèi)虛擬桌面計算機(jī)的治理暫定默認(rèn)開啟以下治理策略，包括但不限于以下策略：序號序號策略狀態(tài)描述備注密碼復(fù)雜性策 略強(qiáng)制密

兩個連續(xù)字符的局部包含至少六個字符英文大寫字母〔AZ〕英文小寫字母〔a到z〕10〔0到9)〔例如!$#%〕此安全設(shè)置確定再次使用某個舊密碼之前必需與某個用戶帳戶

全性此策略能夠通過確保舊密碼歷史帳戶鎖定閾值帳戶鎖定時間允許使用下列設(shè)備安

開啟 用的連續(xù)三個密碼作為密碼。確定導(dǎo)致用戶帳戶被鎖定的登錄嘗試失敗的次數(shù)。在開啟 定帳戶或帳戶鎖定時間期滿之前，無法使用該鎖定5開啟 定鎖定帳戶在自動解鎖之前保持鎖定的分鐘數(shù)。當(dāng)前設(shè)置為10分鐘使用此策略設(shè)置可以指定允許Windows安裝的設(shè)備驅(qū)動程序設(shè)置。制止設(shè)備安裝的其他策略設(shè)置優(yōu)先于此策略設(shè)置。

碼不被連續(xù)重使用來增強(qiáng)安全性。連續(xù)的窮舉軟件攻擊只允許公司內(nèi)部認(rèn)證的USB設(shè)備驅(qū)動程序安裝到虛擬桌面內(nèi)部裝程序 類相匹配的驅(qū)動程序的安裝禁止安裝未由其它策 略設(shè)置描述的設(shè)備禁止安裝可移 動設(shè)備

的設(shè)備。使用此策略設(shè)置可以制止Windows為可移動設(shè)備。例如，設(shè)備連接到的USB集線器的驅(qū)動程序報告某個通用串行總線(USB)設(shè)備是可移動設(shè)備。此策略設(shè)置優(yōu)先于任何其他允許Windows安裝設(shè)備的策略設(shè)置。

協(xié)作上調(diào)策略協(xié)作屏蔽掉全部未經(jīng)過認(rèn)證的全部USB在桌面層屏蔽掉全部USB可移動設(shè)備的連接，有效的保護(hù)內(nèi)網(wǎng)機(jī)要數(shù)據(jù)的外流關(guān)閉系統(tǒng)復(fù)原

開啟 允許禁用“系統(tǒng)復(fù)原。

創(chuàng)立桌面池與桌面發(fā)放依據(jù)資源需求和模板需求，必要時需要進(jìn)展資源開通審批。審批完成后，治理員開頭用戶桌面環(huán)境的發(fā)放。具體步驟如下：在平臺AD域中建立/查找用戶的賬號。安排用戶對應(yīng)的網(wǎng)絡(luò)磁盤空間，設(shè)定用戶所在用戶組安全策略。在用戶對應(yīng)的桌面池中，進(jìn)展用戶權(quán)限指派。并提示用戶初始化賬號密碼信息。第三章 工程實施安排實施打算任務(wù)名稱工期任務(wù)名稱工期開頭時間完成時間系統(tǒng)集成測試及培訓(xùn)5系統(tǒng)上線3個工作日系統(tǒng)優(yōu)化及桌面數(shù)據(jù)遷移8工程啟動階段5個工作日硬件及機(jī)房環(huán)境20個工作日物理資源池建設(shè)6個工作日虛擬資源池建設(shè)5個工作日桌面云平臺搭建分發(fā)15個工作日備注：此在藍(lán)圖階段，需要雙方協(xié)調(diào)和協(xié)作完成后續(xù)的工作內(nèi)容。工程啟動時間，取決于本次合同的簽署時間。工程實施中，乙方將和甲方一起完成具體工程打算的制定。工程人員3名，包括PM1名，桌面云架構(gòu)專家1名，效勞器/網(wǎng)絡(luò)專家11名。資源名稱如下表所示：類型工作方式工程經(jīng)理/實施/現(xiàn)場/網(wǎng)絡(luò)工程師實施現(xiàn)場桌面云架構(gòu)專家實施現(xiàn)場平臺測試工程師測試/現(xiàn)場/質(zhì)量治理XX公司具有在中國供給專業(yè)效勞的豐富閱歷，在供給專業(yè)效勞的過程中，XX進(jìn)展了一套被稱為“XX方法－工程治理”的方法論。在美國工程治理協(xié)會提出的工程治理學(xué)問體系PMBOK〔theProjectManagementInstitute”sBodyofKnowledge〕的根底上，XX公司提出了針對工程治理的方法論，并且在實施運(yùn)用中綜合全球XX工程治理精英的閱歷，不斷地進(jìn)展此方法論。由XX在全球范圍內(nèi)推廣應(yīng)用工程治理GlobalMethod。此套方法論參照并遵循ISO質(zhì)量體系。GlobalMethod工程治理方法論為XX工程治理人員供給了標(biāo)準(zhǔn)的治理工具。工程治理是貫穿整個工程過程的重要任務(wù)。XX大學(xué)電子教室工程經(jīng)理協(xié)作XX公司工程有關(guān)方面的相互溝通。XX公司工程經(jīng)理將完成下述任務(wù)：建立工程的階段審核點(diǎn)制定工程打算指揮、指導(dǎo)、建議、治理工程活動打算日常事務(wù)制定培訓(xùn)及后勤打算匯報工程的狀況和進(jìn)展，如有需要，建議改進(jìn)措施幫助甲方通報、解決消滅的問題治理工程變更過程合理安排工程人員打算、組織系統(tǒng)集成的執(zhí)行/變更治理/組織方面等問題定期向工程的上級領(lǐng)導(dǎo)匯報負(fù)責(zé)所供給的效勞質(zhì)量查找、協(xié)調(diào)和定義工程組每一成員的職責(zé)第四章測試及驗收平臺測試試?？梢皂槙尺\(yùn)轉(zhuǎn)，實現(xiàn)了需求中所需的各項功能。系統(tǒng)初驗一旦全部系統(tǒng)完成系統(tǒng)測試，整個系統(tǒng)將進(jìn)入驗收測試階段，XX工程小組將和客戶技術(shù)人員一起在一周內(nèi)完成整個系統(tǒng)的初