操作步骤 登录管理控制台。 在左侧导航中单击“定时任务”页面。 进入“定时任务”页面。 单击定时任务页面右上角“创建定时任务”。 弹出“创建定时任务”界面。 配置定时任务信息。 任务类型：选择“重启”。 强制执行重启任务：您设置好定时重启任务后，当到达定时时间点时，当前桌面有用户连接，为保证用户体验，系统不会执行重启，将自动顺延到下一个定时时间点，如果勾选后，系统到达定时时间点后，将会强制执行重启。 定时任务名称：用户自定义。 执行周期：支持以下几种周期，根据用户需求自行选择。 指定时间：可精确到某年某月某日某时某分某秒。 按天：可设置具体时间、间隔天数、过期时间。 按周：可设置具体日期、时间、过期时间。 按月：可设置具体月份、具体日期、时间、过期时间。 时区：系统默认选择当地时区。 描述（可选）：根据实际情况自定义配置。 选择是否通知用户。 通知：设置“早于定时任务”时间，范围为1~10080分钟，并根据所需输入通知消息内容，仅支持文本消息，范围为1~400个字符。 不通知：执行6。 仅Windows系统支持“通知消息”。 点击“下一步：选择对象”。 跳转至“选择应用对象”界面。 根据需要选择“应用对象”，对象包括所有桌面、桌面、桌面池、桌面标签。 桌面名称支持批量搜索：输入多个筛选条件，多个值之间用英文“逗号”分隔，如：Desktop1,Desktop2,Desktop3。 单击“立即创建”。

前提条件 注册华为云并实名认证。 如果您已有一个华为账户，请跳到下一个任务。如果您还没有华为账户，请参考以下步骤创建。 打开华为云官网，单击“注册”。 根据提示信息完成注册，详细操作请参见如何注册华为云管理控制台的用户？。 注册成功后，系统会自动跳转至您的个人信息界面。 参考实名认证完成个人或企业账号实名认证。 为用户添加操作权限。 如果您是以主账号登录华为云，请跳到下一个任务。 如果您是以 IAM 用户登录华为云，需要联系 CTS 管理员（主账号或admin用户组中的用户）对IAM用户授予CTS FullAccess权限。授权方法请参见给IAM用户授权。

什么是管理类追踪器和数据类追踪器 管理追踪器会自动识别并关联当前用户所使用的所有云服务，并将当前用户的所有操作记录在该追踪器中。管理追踪器记录的是管理类事件，即用户对云服务资源新建、修改、删除等操作事件。 数据追踪器会记录用户对OBS桶中的数据操作的详细信息。数据类追踪器记录的是数据类事件，即OBS服务上报的用户对OBS桶中数据的操作事件，例如上传数据、下载数据等。 约束与限制 管理类追踪器未开启组织功能之前，单账号跟踪的事件可以通过 云审计 控制台查询。管理类追踪器开启组织功能之后，多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。组织追踪器的详细介绍请参见组织追踪器概述。 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 （OBS）或 云日志 服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。

相关文档 关于事件结构的关键字段详解，请参见事件结构和事件样例。 您可以通过以下示例，来学习如何查询具体的事件： 使用云审计服务，审计最近两周内云硬盘服务的创建和删除操作。具体操作，请参见安全审计。 使用云审计服务，定位现网某个弹性云服务器在某日上午发生的故障，以及定位现网创建弹性云服务器操作失败的问题。具体操作，请参见问题定位。 使用云审计服务，查看某个弹性云服务器的所有的操作记录。具体操作，请参见资源跟踪。

操作场景 管理员可在管理控制台上根据创建的脚本对 云桌面 执行远程命令行操作。 Windows云桌面默认设置是禁止远程执行powershell脚本，需要配置允许执行远程powershell脚本功能，操作方法如下： 在脚本管理页面单击“创建脚本”。 自定义输入脚本名，选择执行环境为“Windows Script（Windows 系统）”，输入描述内容。 输入脚本内容：powershell -Command "Set-ExecutionPolicy -ExecutionPolicy RemoteSigned"，单击“确定”。 选择执行脚本，执行新创建的脚本，执行成功后桌面将可以使用powershell脚本功能。

操作步骤 获取进程名称 管理员在应用服务器上运行需要管控的应用。 右键单击“”，选择运行，输入“taskmgr”命令，按“Enter”键，打开任务管理器。 在任务管理器窗口单击“详细信息”，找到需要管控的应用进程名，如图1所示。 图1 进程名称 获取产品名称 管理员在应用服务器上进入需要管控应用的安装位置。 找到运行程序，如xxx.exe，右键单击，选择“属性”，弹出“应用属性”页面。 单击“详细信息”，可以查看到产品名称，如图2所示。 图2 产品名称 获取发布者名称 管理员在应用服务器上进入需要管控应用的安装位置。 找到运行程序，如xxx.exe，右键单击，选择“属性”弹出“应用属性窗口”。 单击“数字签名”，选择“签名列表”中的签名，单击“详细信息”，如图3所示。 图3 数字签名 在弹出的“数字签名详细信息”页面，单击“查看证书”，弹出“证书”页面。 在“证书”页面单击“详细信息”，在“详细信息”页面，找到“使用者”信息即为“发布者名称”，如图4所示。 图4 使用者信息

应用管控监控事件 应用比应用管控Agent先启动，或管控Agent被kill导致绕过管控，通过 CES 监控事件可以实时查看，参考告警监控章节配置告警规则并查看具体的告警记录。 应用管控监控事件如表1所示。 表1 监控事件 事件来源 维度(支持指定资源必填，否则忽略) 事件ID 事件名称 事件级别 事件说明 处理建议 事件影响 Workspace - agentAbnormal Agent进程状态异常 重要 一般是由于Agent进程被kill或复位等原因 Agent进程被kill后可自动拉起 对应用管控，升级等功能会存在影响 Workspace - appRestrictFailed 受管控的应用被绕过 重要 一般是由于持续kill应用管控Agent等原因 排查是否存在脚本持续kill应用管控Agent 应用管控功能失效 在配置告警策略时，“受管控的应用被绕过”和“Agent进程状态异常”仅支持HDA版本为25.1.0及以上版本。 父主题： 应用管控

操作步骤 登录管理控制台。 检查是否已开启互联网接入地址。 购买桌面后，默认开启互联网接入地址。 在左侧导航栏中单击“租户配置”，进入“基础配置”列表页面。 查看“互联网接入地址”的状态。 已显示IP地址，则已启用互联网接入地址。请执行3。 显示为“未开启”，则未启用互联网接入地址，请单击“开启”，再执行3。 关闭互联网接入地址后，重新开启互联网接入，IP地址会发生变化，需通知桌面用户使用新的IP地址接入桌面。 查看桌面是否已开通互联网。 在左侧导航栏中单击“桌面管理”，进入桌面列表页面。 查看“开通互联网”列的状态。 未开通，则终端用户无法通过云桌面访问互联网，请参考上网管理章节开通互联网。 已开通，则终端用户可以通过云桌面访问互联网，可忽略后续操作 如果当前租户VPC下存在多个业务子网，且需要各业务子网中的云桌面都能访问互联网，则需参考上网管理章节为各业务子网开通互联网功能。 同一VPC下创建了多个NAT时，需要确认路由表中有配置指向所有NAT网关的默认路由。请参考检查路由表是否配置指向公网NAT网关的默认路由检查并配置。 （可选）配置DNS转发功能。 如果对接了Windows AD，需要在Windows AD服务器上配置DNS的域名解析能力，请参考4.a~4.j进行配置。如果未对接Windows AD，则忽略如下操作。 使用administrator账号登录DNS服务器。 在左下角的任务栏单击。 在弹出的“开始”菜单右侧，单击。 打开“服务器管理器”窗口。 在页面左侧导航栏，单击“DNS”。 在页面中间的“服务器”区域框中，右键单击服务器名称，选择“DNS管理器”。 弹出“DNS管理器”对话框。 展开“DNS”节点。右键单击计算机名称，在弹出的菜单中选择“属性”。 在“高级”页签中，取消勾选“禁用递归（也禁用转发器）”，单击“应用”。 在“转发器”页签中，单击“编辑”，在编辑框中填写桌面所在区域默认的DNS服务器IP地址，单击“确定”，完成DNS转发配置。 桌面所在区域默认的DNS服务器IP地址可从华为云提供的内网 DNS地址 中内网DNS地址列表中获取。 通知终端用户，使用互联网接入地址接入云桌面。

前提条件 已获得需要访问互联网的桌面所在区域、项目、使用的VPC和子网信息。 管理员已具有NAT服务和EIP服务的操作权限。 自主注册的华为账号默认拥有华为云所有服务的操作权限，如果您使用的是此类账号，无需再进行确认。 华为账号下新建的IAM账号，需要加入“admin”内置用户组，或者拥有NAT服务和EIP服务操作权限的用户组，才可使用NAT服务和EIP服务。可进入“ 统一身份认证 服务”中查看是否属于“admin”内置用户组。如果非“admin”内置用户组，请参见NAT服务授权、EIP服务授权赋予IAM账号使用NAT服务和EIP服务的权限。

操作场景 管理员购买云桌面后，云桌面默认在VPC子网内，此时云桌面无法访问互联网。管理员需要配置NAT网关共享弹性公网IP，使用户接入云桌面后，可在云桌面中访问互联网。云桌面存在多个业务子网时，需要为每个业务子网开通互联网功能，用户登录未开通互联网功能的子网内的云桌面时，无法在桌面中访问互联网。 此章节介绍通过云桌面提供的购买NAT和EIP快捷入口的方式开通互联网。管理员也可以参考如何通过其他云服务页面开通互联网章节进入NAT、EIP页面购买对应服务开通互联网。

常见文件后缀参考 以下仅列举常见的文档类、图片类、音频类、视频类文件的后缀格式，并非包含了所有的后缀格式，如果需要了解更多的文件后缀格式请自行通过其他渠道查询。 文档类： 常见文档类应用 主要文件后缀格式（多种类型使用|分隔） Word .docx|.doc Excel .xlsx|.xls|.xlsm|.csv PowerPoint .pptx|.ppt|.potm|.ppsx|.pptm PDF .pdf WPS Office .wps|.et|.dps Outlook .msg Open Office .odt|.ods|.odp 纯文本 .txt 富文本 .rtf Microsoft 安装程序文件 .msi WordPerfect 文档 .wpd|.wp5 图片类： .jpg|.jpeg|.png|.gif|.psd|.tif|.tiff|.raw|.eps|.svg|.bmp|.hdr 音频类： .mp3|.wma|.wav|.ape|.flac|.ogg|.aac|.adt|.adts|.aif|.aifc|.aiff 视频类： .mp4|.mkv|.mov|.wmv|.flv|.avi|.avchd|.webm|.3gp|.ts

操作步骤 登录管理控制台。 单击“OU管理”。 进入“OU管理”页面。 单击“创建OU”。 弹出“创建OU”对话框。 填写OU名称。 OU1/OU2/OU3...，/表示层级关系，需填写在域中存在的OU名称。 OU命名规则：只允许输入汉字，输入半角字母，数字，空格，一级-_/$!@*?.范围内的特殊字符，OU名称不能包含分隔符（/），多级OU使用/隔开，最多支持五级，/前后不能有空格，例如3级的OU格式：ab/cd/ef。 选择域名称，填写描述信息。 单击“确认”，完成OU创建。

为镜像配置证书和安全启动 （制作镜像成功后需要调用接口配置2011证书和VTPM安全启动） 开启安全启动需要获取公钥证书，配置如下。 平台密钥：点此获取WindowsOEMDevicesPK.der证书 密钥交换密钥：点此获取MicCorKEKCA2011_2011-06-24.der证书。 签名数据库：点此MicWinProPCA2011_2011-10-19.der证书 在本地Windows PC的开始菜单搜索“Windows PowerShell”，单击“以管理员身份运行”，进入Windows PowerShell运行窗口。 依次执行如下命令将1获取的证书转换成Base64格式。 将“WindowsOEMDevicesPK.der”证书转换成Base64格式。 [System.Convert]::ToBase64String([System.IO.File]::ReadAllBytes("WindowsOEMDevicesPK.der证书存放路径")) | Out-File -FilePath "WindowsOEMDevicesPK.base64证书生成路径" -NoNewline 将“MicCorKEKCA2011_2011-06-24.der”证书转换成Base64格式。 [System.Convert]::ToBase64String([System.IO.File]::ReadAllBytes("MicCorKEKCA2011_2011-06-24.der证书存放路径")) | Out-File -FilePath "MicCorKEKCA2011_2011-06-24.base64证书生成路径" -NoNewline 将“MicWinProPCA2011_2011-10-19.der”证书转换成Base64格式。 [System.Convert]::ToBase64String([System.IO.File]::ReadAllBytes("MicWinProPCA2011_2011-10-19.der证书存放路径")) | Out-File -FilePath "MicWinProPCA2011_2011-10-19.base64证书生成路径" -NoNewline 以上命令中的3个证书存放路径和3个证书的生成路径需要根据实际情况替换。 以WindowsOEMDevicesPK.der证书为例： 证书存放路径示例：“C:\WindowsOEMDevicesPK.der”。 证书生成路径示例：“C:\WindowsOEMDevicesPK.base64”。 调用接口，开启安全启动和VTPM。 获取image_id，在弹性云服务器页面左侧导航栏单击“ 镜像服务 ”。 在镜像服务页面，获取镜像ID，如图1所示。 图1 镜像ID 按照以下模板，根据说明进行编辑后备用。 以下参数取值需要进行替换： $__platform_key替换为3中生成的“WindowsOEMDevicesPK.base64”证书中的内容。 $__key_exchange_key替换为3中生成的“MicCorKEKCA2011_2011-06-24.base64”证书中的内容。 $__signature_database替换为3中生成的“MicWinProPCA2011_2011-10-19.base64”证书中的内容。 拷贝3中密钥内容时，不拷贝首行“-----BEGIN CERTIFICATE-----”和末尾“-----END CERTIFICATE-----”。 [ { "op": "add", "path": "/__support_tpm", "value": "true" },{ "op": "add", "path": "/__support_secure_boot", "value": "true" }, { "op": "add", "path": "/__platform_key", "value": "$__platform_key" }, { "op": "add", "path": "/__key_exchange_key", "value": "$__key_exchange_key" }, { "op": "add", "path": "/__signature_database", "value": "$__signature_database" } ] 通过 API Explorer 调用接口。 根据实际情况下拉选择“Region”。 输入image_id，镜像ID为4.b中获取的值。 单击“切换为文本输入”，并输入4.c中的编辑好的内容。 单击“调试”，如图2所示。 图2 调用接口

前提条件 已购云桌面。 管理员账号已具备云备份服务操作权限。 自主注册的华为账号默认拥有华为云所有服务的操作权限，如果您使用的是此类账号，无需再进行确认。 华为账号下新建的IAM账号，需要加入“admin”内置用户组，或者拥有云备份服务操作权限的用户组，才可使用云备份服务。可进入“统一身份认证服务”中查看是否属于“admin”内置用户组。如果非“admin”内置用户组，请参见云备份服务授权赋予IAM账号使用云备份服务的权限。

前提条件 获取2023版本证书： 获取平台密钥：在获取证书页面中的“PKpub”参数右侧单击下载“windows oem devices pk.cer”密钥。 获取密钥交换密钥： 在获取证书页面中的“Microsoft Corporation KEK 2K CA 2023”参数右侧单击下载“microsoft corporation kek 2k ca 2023.crt”密钥。 获取签名数据库密钥：在获取证书页面中的“Windows UEFI CA 2023”参数右侧单击下载“windows uefi ca 2023.crt”密钥。