华为云用户手册

基本概念 用户 根据用户权限区分为终端用户和管理员。终端用户即最终使用应用的用户，具有使用应用的权限。管理员即租户，为最终使用应用的用户分配应用的用户，具有发布应用、删除应用、设置策略、管理用户等权限。 策略组 策略组是为云应用配置的一组关于文件重定向读写权限、剪切板读写权限、会话自动重连间隔、画面显示等的安全规则集合，用于控制用户终端与云应用之间的数据传输权限。 优先级 优先级是云应用服务判定策略执行先后顺序或者作用权重的依据。优先级由正整数表示，数值越小，优先级越高。 AD管理服务器 活动目录（Active Directory），简称AD。AD管理服务器部署了AD服务的基础架构组件，它可以提供一系列集中组织管理和访问网络资源的目录服务功能。云应用支持对接您自己的AD服务器，实现对云应用的鉴权和认证。 区域和可用区 华为云用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区发布应用。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您帐号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 软终端 软终端（Software Client）是指在本地PC上安装云应用的客户端，使用户能通过该PC接入云应用，该PC即称为软终端。 瘦终端 瘦终端（Thin Client）是基于PC工业标准设计的小型行业专用商用PC，使用专业嵌入式处理器、小型本地闪存、精简版操作系统，用于接入云应用。瘦终端将鼠标、键盘等输入传送到后台服务器处理，服务器再把处理结果返回给瘦终端连接的显示器显示。不同型号的瘦终端有不同的性能、外设接口、操作界面，可以灵活满足普通办公、高安全、高性能图形设计等使用场景。 应急模式 应急模式是指对接AD场景，未启用其他第三方认证，在云应用服务自有认证模块正常，且AD服务器正常，但云应用服务自有认证模块无法与AD服务器连接时，用户可通过应急模式正常登录到云应用，是云应用服务提供的一种逃生通道。

使用场景 云应用主要用在如下场景： 简单办公场景 办公场景的特征是计算机主要用来进行日常办公及固定的行业软件使用。针对这种场景，若采用普通虚拟桌面或PC解决方案，用户只使用了虚拟桌面或PC机很少的能力，但仍然需购买PC，增加了成本。使用云应用可以大幅减少用户的硬件投资及操作系统投资。 简单办公场景的典型远程应用场景如下： 任务型工作：用户通过Intranet或Internet使用公司集中部署的OA、Notes、其他业务系统等，无需在终端上安装相关软件。 双网隔离：在内外网隔离环境下，但是用户又有访问外部网络的需求时，可将浏览器通过云应用平台发布出来，所有访问外部网络的操作都在云应用上完成，而用户个人机器并没有访问外部网络的权限，保证了用户数据的安全性。 父主题： 简介

使用限制 在实际应用时，有以下几个方面的使用限制： 仅支持“帐号和密码”作为登录认证方式时使用。 仅支持能部署在Windows Server 2016和Windows Server 2019操作系统上的应用。 对于远程桌面方式（RDP）登录APS服务器，目前仅支持管理员帐户。 RD Licensing服务器的Windows Server版本必须等于或高于RDS CAL版本，RDS CAL版本必须等于或高于APS服务器的Windows Server版本。 远程应用不支持锁屏操作。 软件兼容性 部署应用软件要求： 软件必须支持多实例运行，能同时打开多个程序实例。 不支持需要以管理员权限才能够运行的软件。 不支持安装到个人用户目录的软件。 Profile和个人用户数据存储 若用户需保存个人数据，必须配置Profile和个人用户数据存储。在没有配置Profile和个人用户数据存储的场景下，建议不要在APS服务器中保存个人数据，避免个人信息被其他用户访问，导致信息泄露。 远程应用的用户Profile数据存储使用Windows的“漫游用户配置”和“文件夹重定向”两个功能来提供，存储在由第三方提供的共享的文件服务器上，该方案依赖于微软的实现，只支持用户的应用配置接入到一台服务器：用户通过打开多个应用同时接入多个应用服务器时，将同时存在多份漫游用户配置拷贝，此时如果分别修改过用户配置，将出现配置冲突、修改的配置无法正常保存到漫游用户配置中。 用户个人数据使用共享的存储系统，存储系统由第三方提供（如NAS）。 云应用基于Windows Server的RDS服务来发布应用，用户之间通过会话隔离，相互的基本操作互不影响。但操作系统及应用程序提供给所有用户共享使用，一旦操作系统或应用程序本身出现故障或出现安全问题，会影响所有用户。云应用不适用于对安全及用户隔离有较高需求的用户。 云应用为无状态服务器，数据备份依赖于应用软件自身的能力。请及时将文件、资料等数据同步到本地磁盘或NAS文件服务器。如应用使用过程中网络异常中断或用户购买的AD服务器异常等导致用户不能接入应用，华为云对此不承担责任。 父主题： 简介

操作步骤 添加服务器 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“服务器组”，进入“服务器组”列表页面。 在已创建的服务器组的“操作”列下单击“添加服务器”，进入服务器配置页面。 参考表1配置参数。 表1 服务器参数说明 参数 说明 取值样例 计费方式 选择服务器的计费方式。 说明： 支持按需计费和包年/包月模式。 包年/包月 可用分区 可用区是在同一区域下，电力、网络隔离的物理区域。可用区之间内网互通，不同可用区之间物理隔离，一个可用区发生故障后不会影响同一区域下的其他可用区。 说明： 如果您需要较高的容灾能力，建议您将服务器创建在不同的可用分区内。 随机分配 购买时长 包年/包月模式时可配置新增服务器的购买时长。 选择服务器购买时长。 可根据需要选择是否开启“自动续费”。 选择“自动续费”，则购买时间结束后，自动扣款续费。 不选择“自动续费”，则购买时间结束后，资源冻结不可用。 1年 购买数量 选择相同规格的服务器购买数量。 1 OU名称 在Windows AD服务器上创建了OU时，可选择对应使用的OU。 说明： 仅对接AD场景需要配置。 - 协议组件 HDP协议服务端接入组件：安装在云应用服务器实例中，与云办公客户端进行通信接入的代理组件。 说明： 勾选后，如果您镜像里的组件版本过低，我们会在发放过程同步升级组件，预计会增加整体机器的发放时长。 勾选 单击“立即购买”。

验证方法 检查AD服务器防火墙或安全组设置，确保已开启表1端口。 AD服务器端口要求请参考Active Directory and Active Directory Domain Services Port Requirements。 通过E CS 服务，在与云应用服务器相同的VPC中创建一台Windows OS的实例，并将该实例加入已有域。 ECS相关配置与操作请参考《弹性云服务器用户指南》，使用RDP客户端工具（例如 “mstsc”）或VNC方式登录Windows实例。 使用RDP客户端工具（例如 “mstsc”）或VNC方式登录Windows实例。 将ADTest.zip下载到Windows实例，然后解压。 在“ADTest.exe”所在文件夹空白区域中，按住“Shift”，单击右键，选择“在此处打开命令窗口”。 在打开的“命令提示符”中，输入以下命令检查AD管理服务器连通性。 ADTest.exe -file ADTest.cfg -ip AD的IP地址 -domain AD的 域名 -user 域管理员帐号 命令示例： ADTest.exe -file ADTest.cfg -ip 192.168.161.78 -domain abc.com -user vdsadmin 输入“vdsadmin”的密码。 检查返回的测试结果是否全部为“SUCCEEDED”，如果包含“FAILED”，请根据提示信息检查AD管理服务器配置或防火墙端口。

操作步骤 使用管理员帐号登录云应用的管理控制台。 在“总览”页面，单击“定时任务”。 进入“定时任务”页面。 单击页面右上角“创建任务”。 弹出“创建任务”界面。 配置定时任务信息。 任务类型： 关机。 您设置好定时关机任务后，当到达定时时间点时，当前云应用服务器有用户连接，为保证用户体验，系统不会执行关机，将自动顺延到下一个定时时间点。 强制执行关机任务：如果勾选后，系统到达定时时间点后，将会强制执行关机。 开机。 重启 您设置好定时重启任务后，当到达定时时间点时，当前云服务器有用户连接，为保证用户体验，系统不会执行重启，将自动顺延到下一个定时时间点。 强制执行重启任务：如果勾选后，系统到达定时时间点后，将会强制执行重启。 重建系统盘 您设置好定时重建系统盘任务后，当到达定时时间点时，当前云应用服务器有用户连接，为保证用户体验，系统不会执行重建系统盘，将自动顺延到下一个定时时间点。 强制执行重建系统盘任务：如果勾选后，系统到达定时时间点后，将强制执行重建系统盘。 使用限制：重装系统盘时，需确保该初始镜像仍存在。如果初始镜像已不存在，则无法重装系统盘。 云应用服务器重建系统盘后，系统盘内的数据会丢失，如果需要系统盘内的数据，请提前通知用户备份。 定时任务名称：用户自定义。 执行周期：支持以下几种周期，根据用户需求自行选择。 时区：用户可设置对应的时区。 指定时间：可精确到某年某月某日某时某分某秒。 按天：可设置具体时间、间隔天数、过期时间。 按周：可设置具体日期、时间、过期时间。 按月：可设置具体月份、具体日期、时间、过期时间。 不存在的日期会自动跳过，比如：2月30号。 如果存在夏令时，具体时间请查看即将执行时间。 点击“下一步：选择对象”。 跳转至“可选对象”界面。 在“可选对象”的搜索框中搜索云应用服务器/服务器组名称并勾选。 单击“立即创建”。

操作步骤 场景一：Windows AD部署在客户数据中心内网 图1 Windows AD部署在客户数据中心内网 首先需要通过云专线或者IPsec VPN连接客户数据中心与VPC之间的网络。参考云专线服务的《快速入门》或者 虚拟专用网络 VPN服务的《管理员指南》进行配置。 如果Windows AD与云应用之间部署了防火墙，则需要在防火墙上给云应用开启以下端口供云应用连接Windows AD，如表1所示。 表1 端口列表 角色 端口 协议 描述 AD 135 TCP RPC协议（LDAP、分布式文件系统和分布式文件复制需要使用该端口） 137 UDP NetBIOS名称解析（网络登录服务需要使用该端口） 138 UDP NetBIOS数据包服务（分布式文件系统、网络登录等服务需要使用该端口） 139 TCP NetBIOS-SSN服务（网络基本输入输出接口） 445 TCP NetBIOS-SSN服务（网络基本输入输出接口） 445 UDP NetBIOS-SSN服务（网络基本输入输出接口） 49152-65535 TCP RPC动态端口（AD未加固开放的端口。如果AD已加固，需要开放端口50152-51151） 49152-65535 UDP RPC动态端口（AD未加固开放的端口。如果AD已加固，需要开放端口50152-51151） 88 TCP Kerberos密钥分发中心服务 88 UDP Kerberos密钥分发中心服务 123 UDP NTP服务使用的端口 389 UDP LDAP服务器 389 TCP LDAP服务器 464 TCP Kerberos认证协议 464 UDP Kerberos认证协议 500 UDP isakmp 593 TCP RPC over HTTP 636 TCP LDAP SSL DNS 53 TCP DNS服务器 53 UDP DNS服务器 配置完成之后，请参考验证方法进行对接的验证，以确认网络和端口是否正常工作。 场景二：Windows AD部署在云应用所在VPC的另一个子网 在此场景中，需要为Windows AD添加安全组规则，将Windows AD的一些端口开放给云应用，使云应用能够与Windows AD连接。 图2 Windows AD部署在云应用所在VPC的另一个子网 在VPC中创建一个安全组，具体操作请参考创建安全组。 添加一条入方向规则，具体操作请参考添加安全组规则。 安全组创建成功后，将该安全组应用于AD管理服务器实例，使云应用能够与AD正常通讯。 如果需要将开放的端口和协议控制在最小的范围内，可以在安全组内添加多条入方向规则，只开放如表1所示的端口和协议即可。 配置完成之后，请参考验证方法进行网络互通的验证，以确认网络和端口是否正常工作。

操作场景 终端用户通过客户端无法正常打开云应用（提示缺少文件或路径不对），但通过VNC方式或在APS服务器内可以正常打开云应用，需要管理员在管理控制台上修改应用的“命令行参数”配置中的应用路径。 管理员修改启动失败应用的“命令行参数”配置，将APS上应用程序启动依赖的文件或参数配置在管理控制台中应用的命令行参数中。 示例：SPECviewperf 13.0软件。 右键单击软件，选择属性，查看软件的目标位置和起始位置。 目标路径：C:\SPEC\SPECgpc\SPECviewperf13\gui\nw.exe vp13bench 起始位置：C:\SPEC\SPECgpc\SPECviewperf13 在管理控制台中云应用需要添加的命令行参数为起始位置+目标路径后面的参数，如：C:\SPEC\SPECgpc\SPECviewperf13\vp13bench 各个软件的配置参数有差异，请根据实际情况填写。

操作步骤 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“应用组”，进入“应用组”列表页面。 单击应用组名称，进入“应用列表”页面。 单击“授权用户”，进入用户列表页面。 单击“添加用户”，进入添加用户列表页面。 选择需要使用应用的用户/用户组，单击“确定”。 用户将收到云应用授权服务通知邮件/短信。 AD用户组的用户，暂不支持发送通知消息。 用户名长度超过20字符的用户不支持接入Windows应用。 云应用授权用户推荐使用user权限。

操作步骤 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“协议组件升级”，进入AccessAgent升级列表页面。 在待升级的服务器所在行，单击“AccessAgent升级”。或者选择多个待升级的服务器，单击“批量升级”。 在升级确认页面，单击“确定”。 切换至“AccessAgent升级跟踪”页面，可查看具体升级情况。 等待服务器升级状态为“upgrade success”后，再切换回“AccessAgent升级”页面。选择该服务器，单击“批量取消维护”。 在取消维护的页面单击“确定”。

操作步骤 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“服务器组”，进入“服务器组”列表页面。 单击已创建的主服务器组名称，进入主服务器组的基本信息页面。 单击右上角的“创建备服务器组”，进入“创建备服务器组”页面。 参考表1配置参数。 表1 备服务器组参数说明 参数 说明 取值样例 服务器组名称 自定义服务器组名称。 命名规则： 名称长度范围为1~64个字符。 由中文、英文大小写、数字、中划线（-）、下划线（_）组成。 Server_Gp-Win2016 描述 根据所需输入描述内容。 - 区域 根据规划选择应用待部署区域。 不同区域的应用之间内网互不相通，且需分区域管理应用，推荐将应用创建在同一区域。 和主服务器组保持一致 项目 根据规划选择应用待部署项目。 和主服务器组保持一致 会话模式 单会话模式 多会话模式 说明： 不对接AD场景仅支持单会话模式。 对接AD场景支持单会话模式和多会话模式。 和主服务器组保持一致 计费方式 根据服务器使用场景选择“包年/包月”或者“按需计费”。 按需计费 可用分区 可用区是在同一区域下，电力、网络隔离的物理区域。可用区之间内网互通，不同可用区之间物理隔离，一个可用区发生故障后不会影响同一区域下的其他可用区。 随机分配 操作系统 选择待创建服务器的操作系统类型，目前仅支持Windows操作系统。 和主服务器组保持一致 CPU架构 目前仅支持X86计算。 和主服务器组保持一致 套餐类型 根据应用类型选择办公类型及规格。 通用办公型为普通规格，适用于通用的办公应用。 图形优化型为GPU规格，适用于高效图形制作类应用。 通用办公型 - 镜像 选择待创建的服务器使用的镜像类型及具体的镜像版本。 云市场镜像是云应用提供的标准操作系统镜像，所有用户可见，包括操作系统及预装的应用。云市场镜像具有高度稳定性，皆为正版授权。支持Windows Server 2016/2019数据中心版中英文镜像。 私有镜像是基于标准操作系统镜像文件创建的个人镜像，可自定义预装应用，仅用户自己可见。请选择镜像制作中已生成的镜像。 私有镜像 - 磁盘类型 根据所需选择磁盘类型 - 系统盘 选择磁盘类型并设置磁盘大小。 磁盘类型性能说明可参考云硬盘产品介绍。 高IO磁盘：是指由SAS存储提供资源的磁盘类型。 超高IO磁盘：是指由SSD存储提供资源的磁盘类型。 磁盘大小范围：10GB~1020GB，输入值需为10的整数倍。 高IO磁盘 1020GB 网络 选择虚拟网络。如果需要在多个业务子网中可用应用，可选择多个子网，或者在网络配置下方单击“单击此处创建子网”，创建子网。 虚拟私有云（VPC）为云应用构建隔离的、用户自主配置和管理的虚拟网络环境，方便管理、配置内部网络。您的云应用将被创建在所选择的虚拟私有云子网内，以便访问企业内网的资源和应用。 - 增购会话数 单台服务器增购会话数，范围根据服务器套餐大小选择。 说明： 服务器组创建完成后，会话数不支持变更。 如需测算云应用并发会话数，参考如何测算云应用的并发会话数？。 - OU名称 在Windows AD服务器上创建了OU时，可选择对应使用的OU。 说明： 仅对接AD场景需要配置。 - 协议组件 HDP协议服务端接入组件：安装在云应用服务器实例中，与云办公客户端进行通信接入的代理组件 说明： 勾选后，如果您镜像里的组件版本过低，我们会在发放过程进行同步升级组件，预计会增加整体机器的发放时长。 勾选 状态 ：关闭服务器组状态开关：云服务将不会调度可用服务器接入会话。 ：开启服务器组状态开关：云服务将会调度可用服务器接入会话。 IP虚拟化 ：关闭IP虚拟化开关。 ：开启IP虚拟化开关。 说明： 启用IP虚拟化，将给每个会话分配不同的IP。服务器预分配的虚拟IP个数与最大会话数一致。 最大会话数=默认会话数+增购会话数。 仅多会话模式支持配置。 和主服务器组保持一致。 扩缩容策略 ：关闭扩缩容策略开关。 ：启用扩缩容策略开关。 启用扩缩容策略开关，配置扩容策略。 扩容策略：会话使用率超过x%时，自动创建按需付费的弹性资源。 说明： 会话使用率 = 使用中的实例会话数之和/（实例最大会话数*可用实例数） 可用实例数：状态为非维护且就绪的服务器数量。 最大会话数：选择套餐的默认会话数量加上增购会话数。 每次创建x台（取值范围：1~10），最多创建x台（取值范围：1~100） 缩容策略：无会话连接的弹性资源最多保留x分钟。（取值范围：5~120分钟） 配置购买数量与时长。 计费方式为“包年/包月”时，可根据实际需要配置购买时长。 单击“下一步：确认配置”，进入配置确认页面。 计费方式为“包年/包月”时，可以选择是否自动续费。 确认配置无误，单击“立即购买”。 计费方式为“按需计费”，资源创建成功后，可在“服务器组”列表页面查看已购买的服务器组及其服务器。 计费方式为“包年/包月”，则进入订单支付页面，完成支付后，可在“服务器组”列表页面查看已购买的服务器组及其服务器。

如何将ECS服务器加入云应用服务器的域中？ 新购买的ECS服务器未加入云应用服务器所在域中，无法进行共享配置，需要参考如下操作将其加入对应域中。 以Windows Server 2019服务器为例。 在ECS服务器列表页面，单击新购服务器所在行的“远程登录”，输入帐号密码，进入云服务器中。 进入Windows Server 2019服务器操作系统桌面，右键单击“此电脑”，选择“属性”，进入系统页面。 在计算机名、域和工作组设置区域，单击“更改设置”，进入系统属性页面。 在“计算机名”页签中，单击“更改”，进入计算机名/域更改页面。 在“隶属于”区域的“域”输入框中输入云应用所在域名，单击“确定”。 输入云应用域服务器的管理员帐号与密码，单击“确定”。 提示加域成功后，重启云服务器。 父主题： 常见问题

操作步骤 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“策略组”，进入策略组列表页面。 在页面右上角单击“创建策略组”，进入创建策略组基础信息配置页面。 设置“策略名称”和“描述”信息。 “策略名称”必须由半角数字、字母和下划线组成，输入长度不可超过55个字符。 描述字数最多支持255个。 根据实际需求，选择“创建模式”。 全新创建：使用空的默认模板创建。 从模板创建：使用现有的策略模板创建，配置项默认与该策略模板相同。 管理员可以选择已存在的策略模板或者通过新增自定义模板创建新的模板。 系统已提供四种不同场景的策略模板。帮助您快速完成云应用策略配置。 安全场景：安全场景下，通过华为 云桌面 协议禁止云应用中的数据流出到个人存储设备，确保数据资产只保留在企业的数据中心。 游戏场景（依赖GPU）：针对游戏场景，优化鼠标的跟随性和画面显示，在带宽有限的场景下，优先保证流畅度，提升游戏体验。 制图场景（依赖GPU）：针对制图场景，调整显示帧率，提升画面的显示质量；调整鼠标跟随模式，降低光标与图片之间的间隔，减少用户的视觉差异。 视频编辑 场景（依赖GPU）：针对视频编辑场景，通过视频加速，优化视频播放质量，鼠标紧密跟随用户操作，提升用户操作体验。 导入已有策略：如果已经创建过策略，可在已有的策略中选择策略导入，配置项默认与选择的该策略相同。 单击“下一步：策略配置”。 进入策略配置页面。 在“策略配置”页面中，根据用户的实际场景需求，设置计算机各方面的应用策略。 通用策略精简自高级策略，可以满足常用办公需求。已默认开启满足常用办公需求的策略参数项。 表示该项策略已启用。 表示该项策略已禁用。 通用策略配置的策略内容如表1 策略管理所示。 表1 策略管理 策略类型 策略参数 策略说明 文件重定向 固定驱动器 只读，对驱动器和存储设备中的文件只可以预览。 读写，对驱动器存储设备中的文件可编辑修改。 在云应用环境下实现对驱动器的支持，用户可以在虚拟机中通过文件重定向方式使用驱动器。 可移除驱动器 光盘驱动器 网络驱动器 剪切板重定向 开启双向 启用后最终用户可以在云应用中复制数据并在本地桌面中粘贴，同时也可以在本地桌面中复制数据后在云应用中粘贴。 服务端到客户端 启用后最终用户只支持在云应用中复制数据并在本地桌面中粘贴。 客户端到服务端 启用后，只支持在本地桌面中复制数据并在云应用中粘贴。 说明： 文件拷贝操作只支持使用Windows客户端到服务端，且需要开启文件重定向及对应驱动器。 打印机设备重定向 服务端到客户端 用户可以使用TC上连接的打印机设备 会话 无键鼠事件自动断开 自动断开：客户端中无键鼠操作超过设置的等待时间后，将自动断开与服务器的连接，关闭应用。 已禁用：关闭自动断开。 等待时间（分钟） 无键鼠事件自动断开的等待时间设置。配置范围：3~86400 自动注销 开启无键鼠事件自动断开功能后，可配置在断开多久后自动注销会话。 会话断连保留时长（分钟） 无键鼠事件自动断开功能开启后，自动断开连接后，等待设置的会话保留时长后，自动注销会话。配置范围：1~86400。 配置高级策略。 通用策略配置可以满足常用办公需求，如有特殊场景需求，可进行“高级策略”配置。 在通用策略配置页面，单击“高级策略”。 进入“高级策略”配置页面。 图1 高级策略配置入口 根据场景需求，配置高级策略。如图2 高级策略配置所示，高级策略配置参数请参考配置高级策略参数。 图2 高级策略配置 单击“下一步：应用对象”。 按实际情况选择“对象类型”，选择对象，如图3所示。 所有对象 用户 用户组 应用组 图3 选择应用对象 单击“下一步：完成”。 创建策略成功，策略会在用户下一次登录云应用后生效。

前提条件 已获得需要访问互联网的云应用所在区域、项目、使用的VPC和子网信息。 管理员已具有NAT服务和EIP服务的操作权限。 自主注册的华为云帐号默认拥有华为云所有服务的操作权限，如果您使用的是此类帐号，无需再进行确认。 华为云帐号下新建的 IAM 帐号，需要加入“admin”内置用户组，或者拥有NAT服务和EIP服务操作权限的用户组，才可使用NAT服务和EIP服务。可进入“ 统一身份认证 服务”中查看是否属于“admin”内置用户组。若非“admin”内置用户组，请参见NAT服务授权、EIP服务授权赋予IAM帐号使用NAT服务和EIP服务的权限。

操作场景 管理员发布应用后，云应用默认在VPC子网内，此时云应用无法访问互联网。管理员需要配置NAT网关共享弹性公网IP，使用户通过互联网接入地址接入云应用后，可正常使用应用程序。云应用存在多个业务子网时，需要为每个业务子网开通互联网功能。 云应用与云桌面的网络共用。如果同项目下的同一子网内已有云桌面，且管理员已为云桌面开通互联网访问，则终端用户可直接访问应用程序。如果当前项目子网只存在云应用，则管理员需参考本章节进入NAT、EIP页面购买对应服务开通互联网。

文件发送 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“策略组”，进入策略组列表页面。 单击右上角的“创建策略组”，进入创建策略组页面。 配置策略名称、描述信息和创建模式，单击“下一步：策略配置”，进入策略配置页面。 “策略名称”必须由半角数字、字母和下划线组成，输入长度不可超过55个字符。例如storage2workspace_File。 描述字数最多支持255个。例如，外部设备复制文件至云应用服务器之文件发送。 创建模式保持默认即可。 图9 创建策略组 单击“高级策略”，进入高级策略配置页面。 图10 高级策略入口 在高级策略项列表中，单击“文件和剪切板”，切换到“文件和剪切板”策略项页面。 启用“文件发送（虚拟机至客户端）”策略，如图11所示。 选择“文件发送（虚拟机至客户端）”参数项，仅在客户端（TC/SC）操作系统和云应用服务器操作系统均为Windows时，用户可通过文件发送的方式从外部存储设备中复制文件至云应用服务器中。 图11 配置文件发送策略 单击“下一步：应用对象”，进入应用对象配置页面。 根据对象类型选择该策略作用于的对象。 例如，选择“所有对象”并选择“所有对象”，则当前项目中的所有用户和应用组都适用该策略。 图12 选择应用对象 单击“下一步：完成”。

文件重定向 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“策略组”，进入策略组列表页面。 单击右上角的“创建策略组”，进入创建策略组页面。 配置策略名称、描述信息和创建模式，单击“下一步：策略配置”，进入策略配置页面。 “策略名称”必须由半角数字、字母和下划线组成，输入长度不可超过55个字符。例如storage2workspace_Fileredirection。 描述字数最多支持255个。例如，外部设备复制文件至云应用服务器之文件重定向。 创建模式保持默认即可。 图5 创建策略组 单击“高级策略”，进入高级策略配置页面。 图6 高级策略入口 在高级策略项列表中，单击“文件和剪切板”，切换到“文件和剪切板”策略项页面。 启用“文件重定向”策略，并设置为“只读”模式，如图7所示。 “文件和剪切板”下的其他高级策略参数项可不配置，如对流量、文件大小等有严格要求，可参见配置高级策略参数中的参数说明进行配置。 图7 配置只读模式的文件重定向策略 单击“下一步：应用对象”，进入应用对象配置页面。 根据对象类型选择该策略作用于的对象。 例如，选择“所有对象”并选择“所有对象”，则当前项目中的所有用户和应用组都适用该策略。 图8 选择应用对象 单击“下一步：完成”。

剪切板重定向 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“策略组”，进入策略组列表页面。 单击右上角的“创建策略组”，进入创建策略组页面。 配置策略名称、描述信息和创建模式，单击“下一步：策略配置”，进入策略配置页面。 “策略名称”必须由半角数字、字母和下划线组成，输入长度不可超过55个字符。例如workspace2storage_Clipboard_c2b。 描述字数最多支持255个。例如，外部设备复制文件至云应用服务器之剪切板重定向。 创建模式保持默认即可。 图1 创建策略组 单击“高级策略”，进入高级策略配置页面。 图2 高级策略入口 在高级策略项列表中，单击“文件和剪切板”，切换到“文件和剪切板”策略项页面。 启用“剪切板重定向”策略，并选择“客户端到服务端”参数项，如图3所示。 仅在客户端（TC/SC）操作系统和云应用服务器操作系统均为Windows时，支持富文本复制、文件复制，且最多同时可复制500个文件。 当客户端（TC/SC、移动客户端）操作系统或云应用服务器操作系统为其他时，只支持纯文本格式复制，不支持文件复制。 图3 配置客户端到服务端的剪切板重定向 单击“下一步：应用对象”，进入应用对象配置页面。 根据对象类型选择该策略作用于的对象。 例如，选择“所有对象”并选择“所有对象”，则当前项目中的所有用户和应用组都适用该策略。 图4 选择应用对象 单击“下一步：完成”。

前提条件 管理员发布沙箱控制台应用到应用组。 用户登录客户端，在应用列表页面单击打开Sandboxie Control控制中心，弹出“Sandboxie Control”控制台。 在Sandboxie Control控制台右键单击需要设置的沙盒，选择“沙盒设置”弹出沙盒设置窗口，选择“外观”，进入“外观”页面。 在“外观”页面将“在窗口边缘显示“选择框去掉勾选，单击“确定”，如图1所示。 图1 窗口边缘显示边界配置

已开通服务总览页面 开通云应用服务后，您可以按照流程引导制作镜像、创建服务器及创建应用组，如图2所示。 图2 总览信息 已创建服务器及创建应用组后，在“总览”页面，您可以查看用户使用率趋势、告警通知、云应用的资源监控等。 用户使用率据趋势中，您可以查看周期内（5分钟、1小时、一天）固定时间段（当天、近7天、近30天、自定义时间段）的失败用户数、在线会话数等详细数据趋势如图3所示。 图3 数据趋势 今日接入失败用户数 在“今日接入失败用户数”上方单击“查看”，跳转至“应用记录”的“用户接入失败统计”页签。 您可以查看用户接入失败统计记录信息，如连接用户、接入失败次数（连续三分钟接入失败则记为失败一次；同一个用户单日多次失败记为一个用户）、最近一次接入失败时间、错误码、错误信息等。 单击左列下的“查看”，跳转至“应用使用记录”页签，可以查看具体的应用记录信息。 在线会话数 在“在线会话数”上方单击“查看”，跳转至“会话管理”界面。 您可以看会话相关的详细信息，如用户名、服务器名称/IP、服务器组名称/ID、会话类型等。 告警通知页面，您可以查看云应用的告警总数、告警级别、告警信息等，如图4所示，单击“查看详情”跳转至 云监控服务 页面查看详细的告警信息。 图4 告警通知 资源监控页面，您可以查看APS资源使用率、主机资源使用率（如未购买云办公专属主机，默认主机资源使用率为0），如图5所示。 图5 资源监控 根据资源实例的CPU使用率或内存使用率划分低负载、中负载、高负载三个档位。 低负载：CPU使用率 ≤ 50%且内存使用率≤70% 中负载：CPU使用率＞50%或者内存使用率＞70% 高负载：CPU使用率＞70%或者内存使用率＞85%

修订记录 发布日期 更新说明 2025-01-20 第十六次正式发布。 新增： 应用记录和会话管理章节新增导出功能。 2025-01-06 第十五次正式发布。 新增： 表3中防截屏功能新增Mac客户端。 2024-10-22 第十四次正式发布。 新增： 页面总览新增驾驶舱特性相关内容。 应用记录新增监控相关内容。 2024-10-17 第十三次正式发布。 新增： 准备软件新增Visual Studio 2017运行库软件包。 2024-09-05 第十二次正式发布。 新增： 云应用支持的基础监控指标 应用服务器管理新增支持批量更新应用服务器。 2024-07-18 第十一次正式发布。 修改： 制作Windows私有镜像（基础镜像）章节中将原来的AnyBurn为ISO文件集成VMTools驱动改成了AnyBurn为ISO文件集成virtio驱动。 2024-06-25 第十次正式发布。 新增： 云应用启动失败如何处理？ 2024-05-30 第九次正式发布。 新增： 创建备服务器组 修改备服务器组 删除备服务器组 2024-05-09 第八次正式发布。 新增： 如何测算云应用的并发会话数？ 2024-04-09 第七次正式发布。 新增： 权限管理 会话管理 2024-02-01 第六次正式发布。 修改：计费说明章节中的内容。 2023-11-29 第五次正式发布。 新增： 配置云服务器章节中新增开启应用访问相机权限。 云应用通过打开等方式操作应用服务器中文件资源，无法自动刷新如何处理？ 2023-11-15 第四次正式发布。 新增： 订阅事件 用户管理中新增用户组。 2023-07-06 第三次正式发布。 新增： 启动沙箱应用后，如何去掉应用的黄色边框？ 配置云服务器中新增关闭服务器 Internet Explorer ESC操作步骤。 修改： 准备软件 更新Windows镜像制作工具软件包地址。 更新HW.SysAgent.Installer_64.msi 和HW.SysPrep.Installer_64.msi下载链接地址。 2023-06-20 第二次正式发布。 新增： 如何安装沙箱软件？新增安装沙箱软件章节。 添加应用新增沙箱应用章节。 存储新增存储章节。 编辑策略组新增VDI单会话。 定时任务新增定时任务章节。 租户配置新增多因素认证配置章节。 如何删除沙箱？ 启动沙箱应用，窗口无法向左上角拖动或者无法拖动如何处理？ 制作Windows私有镜像（基础镜像）章节中增加VDI单会话和多会话场景。 开通服务章节中增加VDI单会话和多会话场景。 用户管理修改用户创建模式。 2023-01-13 第一次正式发布。

操作步骤 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“OU管理”，进入OU列表页面。 根据需要，可执行如表1所示操作。 表1 OU管理操作列表 操作名称 操作步骤 场景说明 创建OU 单击“创建OU”。 根据AD服务器中OU名称命名，并选择已配置的域名称。根据需要输入描述信息（可选配置）。 单击“确认”。 当管理员在AD服务器上新增了OU时，需要同步在云应用管理控制台中新增对应的OU信息。 修改OU信息 在待修改的OU所在行，单击“修改”。 根据AD服务器中OU信息，修改OU名称。根据需要输入描述信息（可选配置）。 单击“确认”。 当管理员在AD服务器上更新了OU信息时，需要同步在云应用管理控制台中更新对应的OU信息。 删除OU 在待删除的OU所在行，单击“删除”。 单击“确认”。 当管理员在AD服务器上删除了OU时，需要同步在云应用管理控制台中删除对应的OU信息。

操作场景 OU是把对象组织成逻辑管理组的容器，对容器中的资源进行管理，其中包括一个或多个对象，如用户、计算机、打印机、应用、文件共享或其他子OU等。 管理员在AD服务器上进行OU维护后，需要在云应用的管理控制台中进行OU信息同步。 如果云应用与云桌面使用同一个项目，则共用同一份OU名单。即如果在Windows AD服务器中调整了OU信息，需要同步修改云应用或云桌面管理控制台中的OU信息。在云应用管理控制台中新增OU，将同步至云桌面的管理控制台。同理，在云桌面管理控制台中新增OU或者修改OU信息，将同步至云应用的管理控制台。

操作场景 该任务指导管理员在AD域服务器上通过设置组策略方式完成RDS授权和安全策略的配置。 将虚拟机添加到应用组后，APS服务器已部署就绪，此时还需在AD域服务器上配置APS服务器的RDS服务授权功能，以确保用户访问APS服务器发布的应用时已获得RD Licensing服务器的RDS服务授权许可。否则，在120天的试用期结束后，客户端将无法使用远程应用。 在通过APS服务器发布应用之前，还需通过配置APS服务器的安全策略方式进行安全加固，以确保授权用户可以安全的访问或使用系统提供的应用，避免对其他用户带来影响。

数据 执行该任务前需准备的数据如表1所示。 表1 准备的数据 参数 说明 取值样例 名称 用于标识云应用场景下创建的APS服务器OU的名称。 SBCOU 组策略名称 用于唯一标识云应用场景下APS服务器的组策略，由数字、字母、下划线组成，长度范围为1～30个字符。 SBCGRP 要使用的许可证服务器IP 向APS服务器提供RDS服务授权功能的服务器，即RD Licensing服务器。 192.168.1.60

操作步骤 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“应用上网管理”，进入应用上网管理页面。 单击“开通互联网”，进入互联网配置页面，如图1所示。 图1 互联网启用配置页面 参考表1配置网络参数，未涉及的参数保持默认即可。 表1 互联网参数配置 参数名称 说明 样例 网络 选择需要开通可访问互联网功能的应用所在虚拟子网。 - 计费类型 可购买的互联网资源为按需计费模式。 按需计费 NAT网关名称 公网NAT网关名称。 当前虚拟子网已配置公网NAT网关，则无需配置。 当前虚拟子网未配置公网NAT网关，则需自定义NAT网关名称。最大支持64个字符，只能由中文、英文字母、数字、_（下划线）、-（中划线）组成。 NATNetname-workspace_subnet01 NAT网关规格 公网NAT网关的规格。 使用已有的NAT网关，则无需配置。 创建新的NAT网关，则需配置NAT网关规格。NAT网关共有小型、中型、大型和超大型四种规格类型，可通过页面上的“了解更多”查看各规格详情。 小 EIP名称 自定义弹性公网IP的名称。 只能由中文、英文字母、数字、_（下划线）、-（中划线）组成。 EIP-workspace_subnet01 公网带宽 按业务场景选择带宽计费类型。 按带宽计费：指定带宽上限，按使用时间计费，与使用的流量无关。适用于流量较大或较稳定场景使用。 按流量计费：指定带宽上限，按实际使用的出公网流量计费，与使用时间无关。适用于流量小或流量波动较大的场景。 按流量计费 带宽大小（Mbit/s） 选择带宽大小。 选择“按带宽计费”宽带大小范围默认为1~200Mbit/s，用户可根据界面提示的范围自定义。 选择“按流量计费”宽带大小范围默认为5~200Mbit/s，用户可根据界面提示的范围自定义。 99 单击“确认”。 配置成功后，可在应用上网管理列表中查看对应业务子网所配置的互联网网络信息。 如果当前租户VPC下存在多个业务子网，且需要各业务子网中的云应用都能访问互联网，则需参考3~5，为各业务子网开通互联网功能。

操作步骤 使用管理员帐号登录云应用的管理控制台。 在左侧导航栏中单击“应用组”，进入“应用组”列表页面。 单击应用组名称，进入“应用列表”页面。 单击“授权用户”，进入用户列表页面。 选择需要取消取消授权的用户（组）。 删除单个用户（组）执行步骤6~7。 批量删除用户（组）执行步骤8~9。 在待删除用户（组）操作列下单击“删除”，弹出“删除”窗口。 单击“确认”。 勾选待批量删除用户（组），单击左上角的“删除”，弹出“批量删除用户”窗口。 勾选“确认批量删除”，单击“是”。 用户将收到云应用取消授权服务通知邮件/短信。 AD用户组的用户，暂不支持发送通知消息。

相关概念 IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 帐号 当您首次使用华为云时注册的帐号，该帐号是您的华为云资源归属、资源使用计费的主体，对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。帐号统一接收所有IAM用户进行资源操作时产生的费用账单。 帐号不能在IAM中修改和删除，您可以在帐号中心修改帐号信息，如果您需要删除帐号，可以在帐号中心进行注销。 IAM用户 由帐号在IAM中创建的用户，是云服务的使用人员，具有独立的身份凭证（密码和访问密钥），根据帐号授予的权限使用资源。IAM用户不进行独立的计费，由所属账户统一付费。 用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 企业项目权限说明 关于企业项目权限的详细介绍，请参见《EPS产品介绍》。

云应用服务管理员权限 权限根据授权的精细程度，分为策略和角色。云应用服务使用角色授予IAM用户管理员权限。云应用与云桌面使用同一个项目，则共用同一份用户名单，当给云应用的用户组授权时，云桌面同样会有对应的权限。 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予云应用管理员权限，才能使得用户组中的用户获得对应权限，这一过程称为授权。授权后，IAM用户可以在对应拥有权限的项目中对云应用资源进行操作。 如表1所示，包括了云应用的所有系统权限。表2包括了云应用所需的额外权限，其中“依赖关系”表示云应用的系统权限对其它角色的依赖。由于华为云各服务之间存在业务交互关系，云应用的角色依赖其他服务的角色实现功能。因此给用户组授予云应用的权限时，请勿取消已勾选的其他依赖权限，否则云应用的权限将无法生效。

云服务故障 表1 云服务 故障类型 故障模式 设置参数 弹性云服务器 ECS 启动弹性云服务器 关闭弹性云服务器 重启弹性云服务器 - 裸金属服务器 BMS 启动裸金属服务器 关闭裸金属服务器 重启裸金属服务器 - 云硬盘 EVS 删除云硬盘 - 云硬盘快照 EVS_SNAPSHOT 删除云硬盘快照 回滚快照到云硬盘 - 云数据库 RDS 设置云数据库RDS实例读写状态 - 开启云数据库RDS实例 - 重启云数据库RDS实例 - 倒换云数据库RDS主备 - 设置云数据库RDS实例读写状态 readonly； 文档数据库 DDS 重启文档数据库服务实例 - 云数据库 GaussDB 重启云数据库GaussDB实例 - 分布式缓存服务 DCS 分布式缓存服务主备切换 重启分布式缓存服务实例 - 云搜索服务 CSS 重启 云搜索 服务集群 - 数据湖探索 DLI 重启 数据湖 探索队列 force；stop_job 扩容数据湖探索队列 cu_count； 缩容数据湖探索队列 cu_count； 云数据库 GaussDB(for MySQL) 重启云数据库GaussDB(for MySQL)实例 - 云数据库GaussDB(for MySQL)手动主备倒换 master_id；node_id； 数据仓库 服务 重启数据仓库服务集群 - 父主题： 故障模式库