桌面云域用户实现个人盘和UPM重定向至EDS

一、概述

1、测试背景：客户想实现系统盘存放在超融合的虚拟存储上，个人盘存放在EDS外置存储上，且个人数据也UPM重定向至EDS外置存储

2、VDC支持度：截止文档编写时的VDC5.9.6预发布版本，UPM是可以直接设置第三方云盘路径进行重定向，但是个人盘无法实现，且VDC现有的个人云盘方式并不符合客户使用EDS外置存储的要求。因此需要使用脚本将用户虚拟机和EDS提供的CIFS存储进行挂载。

二、前置准备

1、已经部署好桌面云环境（版本为HCI6.11.0  VDC5.9.6）

2、已经部署好EDS环境（版本为5.0.3）

3、桌面云已经对接好AD域

4、准备好AD域管理员账号密码（后续配置文件夹权限时，需要使用AD域管理员账号密码来获取AD域相关的权限）

5、脚本和脚本解析

在用户登录时，脚本会在C盘的对应用户目录创建netdisk文件夹，如果前期部署因为配置原因脚本没有跑通，需要将创建的netdisk文件夹删除，否则会触发第一行的标记检测，不再执行脚本。

此处命令即为自动创建用户专属目录，file.xxxx.work\sangfortesk需按照客户现场环境替换为CIFS存储IP地址或者域名以及文件空间路径。

此处命令为自动映射网络驱动器，其中Z盘可以修改为客户侧制定盘符，对应file.xxxx.work\sangfortest修改为对应CIFS存储IP地址或者域名以及文件空间路径。Self.Name=“EDS云桌面个人网盘”这里是定义映射后在我的电脑里显示磁盘名称，建议使用英文，否则会乱码。

三、操作步骤

1、EDS加入AD域

由于EDS需要借助AD域进行账号的认证和管控，所以EDS要先加入与VDC关联的同一AD域

2、EDS配置CIFS访问域名(按需但影响脚本内容)

文件存储没有块存储的接入IP提供负载分担，所以需要配置域名让EDS设备最终解析域名提供业务IP供终端虚拟机访问。此处若不配置域名，则后续脚本编辑章节网络存储路径需要对应修改。

3、EDS创建文件空间

注：创建文件空间时建议勾选用户配额，此功能创建文件空间后无法修改。

2、设置文件系统空间与共享权限

（此方案下用户的权限不基于EDS上配置的权限，是由windows对于文件夹的权限进行控制）

①目录创建后，在[资源管理/文件存储/共享管理/CIFS共享，点击“新增共享”。

②选择需要共享的路径，填写“共享名称”、新增用户权限，用户权限配置为Everyone读写，同时给服务账号（本文中为域的xxx）添加管理员权限，稍后通过Windows Client进行修改即可

（EDS上仅对文件空间赋予Everyone和对应域管理员账号的读写权限即可）

③用域服务账号（本文为xxx）在Windows Client登录，调整文件系统空间权限

（在windows环境下，通过上述EDS设置的访问域名或者文件存储虚拟IP打开共享路径，找到创建的文件空间文件夹，右键选择【属性】→【安全】）

④点击下方的【高级】，进入权限配置页面进行配置。默认情况下文件夹所有者为EDS的admin账号，首先修改所有者为域管理员账号，此章节修改时由于域管理需求可能需要输入域管理员账号密码进行操作提权，账号输入的时候要带AD域名。

⑤将下面的权限调整至如下图，主要两个主体为CREATOR OWNER和Domain Users。由于脚本中会创建用户名对应的文件夹，会对应CREATOR OWNER主体权限。Domain Users主体则控制所有AD域账户在此文件夹的权限

3、通过文件空间设置用户配额

4、脚本部署

①在模板虚拟机中的组策略直接添加

注：模板虚拟机开机后，也会产生标记文件夹，但是模板派生后，每个用户使用域账户登录将虚拟机加域后会新建域账号个人文件夹，所以模板下的标记文件不会影响用户首次脚本运行，后续测试需手动删除标记文件夹。

5、最终实现效果

6、需求补充

①客户不希望用户在知道CIFS存储域名或者IP后，登录到文件空间目录下看到其他用户的个人盘文件夹。此需求可在EDS对应文件空间勾选仅显示有读取权限的文件和目录，由于CREATOR OWNER和Domain Users权限限制，勾选后，此用户只能看到自己用户名的个人盘文件夹

②域用户通过路径打开文件空间根目录，只能看到自己的文件夹，不能看到别人的

根目录下实际有的文件夹

③客户不希望用户在知道CIFS存储域名或者IP后，登录到文件空间目录下可以在根目录中随意创建文件夹。可以在编辑权限中，将Domain Users的高级权限中创建文件夹权限去掉。但此操作会导致脚本中自动创建用户文件夹命令失效，需要管理员提前手动在此文件空间根目录创建对应用户文件夹

四、关于本次实施的案例修复分享

1、虚拟机显示无法登录到你的账户

（1）问题描述：虚拟机刚派发时使用正常，过1-2天后再次开机会显示“无法登录到你的账户”

（2）故障现象：开机后显示无法登录到你的账户，且桌面文件全部丢失。

（3）排查方向及步骤分析

①关掉upm正常

②upm重定向切换路径测试：

  ---改为个人盘首次登录没有任何报错，一切正常，第三次重启后又是一样的报错

---搭建云盘服务器，创建upm盘，然后路径改为upm盘测试，也是同样报错

③卸载加密软件测试

（客户这边在模板统一安装了加密软件IP guard，推测是加密软件检测到我们去动了ntuser.dat就拦截了）

---卸载后重启没有报错了，且切换为其他路径也没有报错

（3）故障分析结论：

该问题是由于虚拟机系统安装了加密软件，导致agent因重定向相关操作ntuser.dat文件时被加密软件拦截。

（4）解决方案：加密软件侧放通agent相关进程或加白

大佬 大佬