步骤一：创建工作区

1. 登录 无影云桌面控制台 。
2. 在左侧导航栏，选择 桌面 > 工作区 。
3. 在 工作区 页面单击 创建工作区 。
4. 在 设置安全办公网络 页面选择 创建云盒工作区 ，完成网络相关配置，然后单击 下一步：配置账号系统 。
   相关配置说明如下表所示：

   参数	描述
   地域	选择云盒所属的地域。支持的地域及相关限制，请参见 使用限制 。
   可用区名称	选择云盒所在的可用区。
   工作区名称	自定义，便于识别工作区。名称规范要求请参考页面提示。
   VPC	选择已创建的VPC。
   交换机	选择已创建的交换机。如果没有可选的交换机，单击 创建交换机 进行创建。
   桌面本地管理员	选中后，基于该工作区创建的云桌面分配给终端用户时，根据云桌面的操作系统类型，终端用户的权限情况如下： 对于Windows云桌面，终端用户将拥有本地管理员权限。 对于Linux云桌面，终端用户将拥有执行所有命令的权限。使用sudo执行命令时，无需输入密码。

5. 配置账号系统。
   1. 在 配置账号系统 页面，选择 企业AD账号 ，然后设置相关配置项的参数。
      相关配置项说明如下表所示。

      配置项	描述
      协议类型	按需选择基于ASP协议或HDX协议创建AD工作区。
      域名称	输入企业AD的域名，如：example.com。 说明 如果提示域名称无效，请 提交工单 。
      域控主机名 （选填）	如果AD域控服务器和DNS服务器不是同一台（即分开部署AD域控和DNS服务器），建议您设置域控主机名，以便系统明确可连接的域控服务器，提高工作区创建成功率。
      DNS地址	输入企业AD对应DNS的IP地址（私网IP地址）。 说明 如果AD域控服务器和DNS服务器为同一台，您可以直接输入该服务器的IP地址。请确保该IP地址在上一步设置的安全办公网络下可以访问。
      桌面本地管理员 （选填）	是否为云桌面授予桌面本地管理员的权限。选中后，该工作区下的所有云桌面均具有桌面本地管理员权限，可下载安装软件或者执行需本地桌面管理员权限才有操作的任务。 设置桌面本地管理员后支持修改。您可以在工作区详情的 AD设置 区域，在 桌面本地管理员 后按需开启或关闭。 说明 根据云桌面的操作系统类型，终端用户的权限说明如下： 对于Windows云桌面，终端用户将拥有本地桌面管理员权限，但具体具备哪些权限仍由企业AD的设置决定。 对于Linux云桌面，终端用户将拥有执行所有命令的权限。使用sudo执行命令时，需要输入企业AD用户的密码。 您也可以在AD域控中设置桌面本地管理员，此方式可实现精细化的权限管控。 具体操作，请参见 怎么在AD域设置桌面本地管理员？ 。
      选择AD Connector规格	请根据预估的桌面数量选择合适的规格。AD Connector采用按量付费，不同规格的AD Connector计费不同。 更多信息，请参见 计费项 。 通用型：用于桌面数量较少（不超过500台）的工作区。 高级型：用于桌面数量较多（高于500台）的工作区。

   2. 单击 立即创建工作区 。
      工作区状态变为 已注册 后，方可配置AD域。
      说明 如果状态变为 创建失败 ，请根据提示信息重试，或者 提交工单 。

步骤二：配置AD域

如果是基于ASP协议创建的AD工作区，您需要按照下文配置AD域。如果是基于HDX协议创建AD工作区，AD工作区创建成功后，您无法直接使用，需要完成DNS条件转发器和信任关系等配置才能正常使用。下文为您介绍具体的操作步骤，实际业务中请根据实际情况选择相应的操作完成AD域配置。

ASP协议的AD工作区配置AD域

1. 单击 进入工作区详情页面 ，在工作区详情页面记录AD Connector的IP地址（即连接地址）。
2. 配置AD域。
   1. 在 无影云桌面控制台 的 概览 页面单击上一步创建的工作区ID，在工作区的 基础信息 面板单击工作区状态右侧的 去配置 。
   2. 在 AD域配置 面板，填写域用户名称和密码。
   3. 单击 验证获取OU信息 。
   4. 可选： 验证成功后，单击下拉列表并选择AD域中组织单元OU。
      重要 AD域中的组织单元支持修改。

      入口 ：在 无影云桌面控制台 工作区的 AD设置 面板，找到 指定的组织单元OU ，然后单击后面的 图标，根据需要重新选择目标组织单元OU。

   5. 单击 确定 。

HDX协议的AD工作区配置条件转发器和信任关系

1. 配置条件转发器。
   在 配置条件转发器 页面，按照页面提示，登录AD域对应的DNS服务器，配置条件转发器。

   重要

   • 如果您的企业AD为单个域，或者多个域（父子域）对应同一个DNS，则需要为该DNS配置条件转发器。
   • 如果您的企业AD为多个域（父子域），且对应多个不同的DNS，则需要为每个DNS分别配置条件转发器。
   1. 打开DNS管理器。
      此处以Windows Server 2016为例介绍打开DNS管理器的步骤，如果您的服务器为其它操作系统，请以实际为准。

      1. 打开服务器管理器，在左侧导航栏中选择 DNS 。
      2. 在右侧服务器列表中，右键单击服务器，在弹出菜单中选择 DNS管理器 。
   2. 在 DNS管理器 对话框中，右键单击 条件转发器 ，在弹出菜单中选择 新建条件转发器 。
   3. 输入域名和IP地址，选中 在Active Directory中存储此条件转发器，并按如下方式复制它 ，然后选择 此域中的所有DNS服务器 。
      域名为ecd.acs，IP地址为连接地址。

      说明 您可以在 无影云桌面控制台 工作区的 AD设置 面板，找到 连接地址 并获取IP地址。

      
   4. 单击 确定 。
   5. 在cmd中执行以下命令，验证网络是否互通。

      nslookup ecd.acs

      • 如果返回的IP地址是连接地址，则表示已成功配置条件转发器。
      • 如果返回报错信息，请检查条件转发器是否配置正确，然后清理DNS缓存，关于如何清理DNS缓存，请参见 创建AD工作区常见问题 。
2. 在无影云桌面控制台的 配置条件转发器 页面，单击 下一步 。
3. 配置信任关系。
   说明 如果AD工作区未配置信任关系，则仅支持创建ASP协议类型的云桌面。只有配置信任关系的AD工作区，才支持创建ASP协议或HDX协议的云桌面。

   在 配置信任关系 页面，按照界面提示，登录AD域控服务器，配置信任关系。
   1. 打开服务器管理器。
   2. 在右上角的菜单栏选择 工具 > Active Directory 域和信任关系 。
   3. 在弹出的对话框中，右键单击域，选择 属性 。
   4. 在域属性对话框中，单击 信任 页签，然后单击 新建信任 。
   5. 按照向导完成信任配置。
      需要注意的配置项如下，其他配置保持默认即可。

      • 信任名称：输入ecd.acs。
      • 信任类型：选择 外部信任 。
        说明 如果无法选择 外部信任 ，在cmd中执行以下命令，验证网络是否互通。

        nslookup ecd.acs

        • 如果返回AD Connector的IP地址（即连接地址），则表示已成功配置条件转发器。
        • 如果返回报错信息，请检查条件转发器是否配置正确，然后清理DNS缓存，关于如何清理DNS缓存，请参见 创建AD工作区常见问题 。
        
      • 信任密码：您可以自定义设置，该密码在下一步云桌面侧配置AD域时需要输入，您需要牢记该密码。
   6. 确认配置完成的信任，然后单击 确定 。
      
   7. 在无影云桌面控制台的 配置信任关系 页面，输入配置信任关系时设置的信任密码，然后单击 完成所有配置 。

查看AD工作区