新增LDAP用户和分组

新增LDAP用户有新建LDAP用户、导入LDAP用户、同步第三方服务器用户、导入第三方系统账号四种方式：

新建LDAP用户：适用于增加单个用户或少量用户的场景。
导入LDAP用户：适用于批量导入用户的场景，即在短时间需要添加大量本户数据的场景，如新部署的VDI环境中需要一次添加全部的用户信息。
从第三方服务器同步用户：适用于需要将第三方账号认证平台（如吉大正元、IDLINK和中国银行的身份管理平台）中的用户手动同步到管理平台的场景。
导入第三方系统账号：适用于需要将第三方系统账号（如企业微信、钉钉账号）导入管理平台的场景。仅在非纯教育场景下，支持导入第三方系统账号。

新建LDAP用户

操作步骤

单击左侧导航树[用户/LDAP用户]或[用户/LDAP用户/<用户分组名称>]菜单项，打开“用户”页签。
单击<新建用户>按钮，进入新建LDAP用户页面。
创建类型选择“添加一个新的用户”，单击<下一步>按钮进入用户基本信息设置页面。
填写用户基础信息和扩展信息，单击<下一步>按钮进入认证配置页面。
根据需要配置第三方登录、电话、钉钉、企业微信账号、国盾量子认证和Google验证，单击<下一步>按钮进入确认信息页面。
确认用户全部信息填写无误之后，单击<确定>按钮完成新建LDAP用户。

参数说明

基础信息：
- LDAP服务器：选择“通用LDAP服务器”类型的认证服务器。新建成功的用户账号将自动同步到所选的LDAP服务器上。
- 用户类别：分为普通用户、学生用户与教职工用户，该参数仅在办公教育混合场景下可见。办公场景下可创建普通用户；教育场景下可创建学生用户和教职工用户，学生用户可以登录学生端，教职工用户可以登录教师端。
- 登录名：用户登录客户端时使用的账号，最大输入长度为20个字符。
- 用户姓名：用户的姓名。教育场景下若用户类别为学生，则为学生的姓名；若用户类别为教师，则为教师的姓名。
- 登录密码：用户登录客户端时使用的密码。建议输入的登录密码超过6个字符，并且至少包含四类字符（大写字母、小写字母、数字和特殊字符）中的三类字符。
- 确认密码：与登录密码保持一致。
- 用户分组：用户所属分组，除学生用户之外的用户可选择多个用户分组。学生用户只能选择班级分组。
- 访问策略：通过访问策略限制用户访问云桌面或课程桌面的时间和所用的IP。仅适用于需通过用户账号登录的场景。
- 状态：默认为启用，禁用后该用户将无法登录客户端及用户自助系统。
- OU：LDAP用户在通用LDAP认证服务器上所属的OU，即LDAP用户在通用LDAP认证服务器中所属的组织单位。父OU中可直接查看子OU下的用户和用户分组。
- 个人磁盘：启用个人磁盘的用户，通过任意终端连接云桌面时，桌面右下角将出现个人磁盘托盘。用户登录个人磁盘后，即可成功挂载个人磁盘，用于个人数据的读写。当用户云桌面重启或关机后，个人磁盘中的数据不会丢失。启用个人磁盘后，需配置其大小，且不支持禁用，请谨慎配置。关于个人磁盘的配置，请参见系统参数配置。仅Windows和银河麒麟操作系统的VDI云桌面支持个人磁盘。
- Samba共享：Samba共享启用前需在[系统配置/外部服务配置/第三方系统对接]页面配置Samba共享服务器参数，启用Samba共享后，用户可使用该项服务。关于Samba共享服务器的配置，请参见第三方系统对接。
- Samba共享路径：共享文件在Samba共享服务器中的路径，由用户登录名和用户ID组成。
扩展信息：
- 性别：用户的性别，可选择男、女。仅学生用户与教职工用户需设置该参数。
- 年龄：用户的年龄。
- 单位：用户的单位。
- 部门：用户的部门。
- 入职时间：用户的入职时间。
- 证件号码：用户的身份证件号码，例如身份证号、护照号等。最大输入长度为32个字符。
- Email：用户的Email邮箱地址。E-Mail邮箱地址的最大输入长度为256个字符，且必须符合标准规范，例如[email protected]。
- 通信地址：用户的通信地址。
- 绑定终端IP地址：用户连接云桌面时可以使用的本地客户端IP地址范围，每行可输入一个IP地址或是以“-”连接的IP地址段，不配置表示不限制。
- 绑定终端MAC地址：选择是否绑定终端MAC地址，若绑定终端MAC地址，可选择是否绑定首次登录MAC。若绑定首次登录MAC，用户首次登录的MAC地址将与用户绑定，无需手动输入MAC。若未绑定首次登录MAC，则必须手动输入用户连接云桌面时可以使用的本地客户端MAC地址范围，每行可输入一个MAC地址。
- 用户到期时间：用户账户到期时间，当到达有效期时，如未开启定时清理到期用户功能，客户端将提示用户已到期；如已开启定时清理到期用户功能，管理平台中对应用户将会被删除。该参数不设置表示永不到期。
- 用户失效时间（天）：用户未登录其云桌面的天数大于失效天数时，该用户将被禁用，0表示没有限制。
认证配置：
- 第三方登录：第三方登录启用后，支持用户通过短信登录、钉钉验证码与扫码登录、企业微信验证码与扫码登录。仅VDI客户端支持第三方登录。
- 电话：用户的电话号码。如需启用短信验证，则需要输入用户的手机号。
- 钉钉账号：用户所绑定的钉钉账号，若未设置，则默认设置钉钉账号与用户登录名相同。纯教育场景不支持设置此参数。
- 企业微信账号：用户所绑定的企业微信账号，若未设置，则默认设置企业微信账号与用户登录名相同。纯教育场景不支持设置此参数。
- 国盾量子认证：国盾量子认证启用后，用户通过用户名密码登录安装于Windows终端上的客户端时，需绑定国盾量子提供的U盾，绑定成功才能成功登录客户端。启用前，请先配置认证对接中的国盾量子认证。仅VDI客户端支持国盾量子认证。
- Google验证：Google验证启用后，用户登录客户端时需先输入用户名和密码，随后还需输入Google验证器上的验证码，才能完成二次验证并登录客户端。Google验证与国盾量子认证或第三方登录不能同时启用。若已开启Radius认证，则 Google验证启用将不生效。使用Google验证时，请确保NTP服务器的系统时间与用户终端所在时区的时间保持一致。

导入LDAP用户

建议先下载导入模板，并在模板上添加数据后作为用户信息文件。

单击左侧导航树[用户/LDAP用户]或[用户/LDAP用户/<用户分组名称>]菜单项，打开“用户”页签或进入指定分组详情页面。
单击<新建用户>按钮，进入新建LDAP用户页面。
创建类型选择“从文件导入用户”，单击<下一步>按钮进入导入LDAP用户页面。
单击页面中<下载导入模板>按钮下载导入模板，制作用户信息文件。
上传用户信息文件，配置相关信息。
单击<下一步>按钮，进入导入预览页面。
确认无误后，单击<确定>按钮，完成操作。
- 导入方式：包括新增和修改，其中选择“修改”时，用户到期时间、描述、通讯地址的修改将同步到LDAP服务器，其他参数修改仅更新本地数据库。
- 导入文件：上传用户信息文件，上传文件编码方式必须为GBK。
- 分隔符：默认为“，”，不支持修改。
- LDAP：选择“通用LDAP服务器”类型的认证服务器。导入成功的用户账号将自动同步到所选的LDAP服务器上。
- 指定用户分组：指定用户分组的方式，有导入、选择已有和新建方式。
  - 导入：导入用户时，使用导入文件中的用户分组信息，将用户导入到对应用户分组中，若平台中没有对应的用户分组，将新建该用户分组并导入用户。
  - 选择已有：导入用户时，不使用导入文件中的用户分组信息，而是选择平台上已经有的用户分组，将导入文件中的用户信息导入到平台上已有的分组中。若用户类别为“学生”，指定用户分组只能选择已有分组，且用户分组必须为班级分组。
  - 新建：导入用户时，不使用导入文件中的用户分组信息，也不使用平台已有的用户分组，而是在导入用户时新建一个其他用户分组。
- 指定用户类别：指定用户的类别，有导入和选择已有两种方式。

同步第三方服务器用户

该功能用于将第三方账号认证平台（如吉大正元、IDLINK和中国银行的身份管理平台）中的用户手动同步到管理平台。除手动同步外，每天凌晨3:40管理平台将自动同步第三方账号认证平台上的用户信息。使用此功能前，请在[系统配置/认证对接/账号对接/第三方账号对接]页面完成第三方平台的配置。

单击左侧导航树[用户/LDAP用户]或[用户/LDAP用户/<用户分组名称>]菜单项，打开“用户”页签或。
单击<新建用户>按钮，进入新建LDAP用户页面。
创建类型选择“从第三方服务器同步用户”，单击<下一步>按钮进入用户同步设置页面。
确认第三方服务器信息，选择同步到本地目标组（仅吉大正元平台支持），单击<确定>按钮，完成操作。

导入第三方系统账号

该功能用于导入第三方系统账号，并与管理平台已存在的用户建立对应关系。仅在非纯教育场景下，支持导入第三方系统账号。

导入第三方系统账号，只能配置管理平台中已存在用户的企业微信或者钉钉账号，将根据导入的文件更新用户钉钉或企业微信账号。不支持新建不存在的用户。

单击左侧导航树[用户/LDAP用户]或[用户/LDAP用户/<用户分组名称>]菜单项，打开“用户”页签。
单击<新建用户>按钮，进入新建LDAP用户页面。
创建类型选择“导入第三方系统账号”，单击<下一步>按钮，进入导入第三方系统账号页面。
单击<下载导入模板>按钮，下载模板并完成用户信息填写后，单击<选择文件>按钮，上传已填好的导入文件，单击<下一步>按钮。
确认无误后，单击<确定>按钮，完成第三方系统账号导入。

新建LDAP分组

单击左侧导航树[用户/LDAP用户]或[用户/LDAP用户/<OU名称>]菜单项，并选择“用户分组”页签。
单击<新建用户分组>按钮，弹出新建LDAP分组对话框。
填写分组信息，单击<确定>按钮完成新建LDAP分组。
- LDAP服务器：选择“通用LDAP服务器”类型的认证服务器。新建成功的用户分组将自动同步到所选的LDAP服务器上。
- 父分组：用户分组的上一级分组，“/”表示根分组为父分组。
- 分组名：用户分组的名称。
- 是否班级：所建分组是否为一个班级，若是，则需要配置其所属年级。该参数仅在教育场景或办公教育混合场景下可见。
- 所属年级：班级所属的年级，在年级管理中可以新建年级。该参数仅在教育场景或办公教育混合场景下可见。
- 访问策略：通过访问策略限制分组中用户访问云桌面或课程桌面的时间和所用的IP。仅适用于需通过用户账号登录的场景。
- OU：用户分组在通用LDAP服务器上所属的OU，即用户分组在通用LDAP服务器中所属的组织单位。当新建本地分组为LDAP认证时，需要配置此参数。选择OU后，需选择添加到该分组的用户。

新建年级（教育场景）

ARM架构主机暂不支持年级管理。

单击左侧导航树[用户/LDAP用户]菜单项，进入LDAP用户页面。
单击页面右上方的<年级管理>按钮，弹出年级管理对话框。
单击<新建年级>按钮，弹出新建年级对话框，设置年级名与前置年级，单击<确定>按钮，完成新建年级。
新建的年级显示在年级管理对话框中，可对已有的年级进行删除操作。
- 年级名称：年级显示的名称，允许输入中文、英文、数字、下划线和中划线，不能包含@#等特殊字符。
- 前置年级：前置年级升级后为当前年级。