使用組策略對象配置終端服務

來源:互聯網
上載者:User
策略|對象

本文節選自《Windows & .NET Magazine國際中文版》

自從1998年微軟發布第一個Windows NT 4.0終端伺服器版(WTS)以來,很多公司大大改善了使用RDP串連到終端伺服器的使用者體驗。在Windows 2003中,RDP用戶端幾乎達到了與使用ICA用戶端到Citrix MetaFrame伺服器一樣的功能,僅缺少支援應用程式發布與無狀態視窗(應用程式發布指使一個串連指向一台終端伺服器上的一個應用程式,無狀態視窗則允許終端使用者在一台終端伺服器上對同一個會話維持多個串連,並且這樣不會成倍地使用資源)。

但是,微軟曆來不太注重對WTS和Windows 2000伺服器上的終端伺服器改善管理。NT 4.0早於WTS,因此核心的NT作業系統並沒有終端伺服器管理能力——即使使用者帳號管理也必須在一台WTS電腦或者使用支援WTS的使用者帳號管理器來完成。Windows 2000在核心的作業系統中包括對終端服務的支援,但是伺服器管理工具僅適合於管理很小數量的使用者或者伺服器,因為您必須為每個使用者或者每台電腦單獨配置終端服務的設定。而終端伺服器的設定,如使用者設定檔路徑並不是通過活動目錄服務介面(ADSI)來實現,除了使用命令列工具可能實現以外,您不能指令碼化伺服器的管理。如果您計劃保持預設設定或者您只有兩三個使用者帳號或伺服器需要配置,這個限制還是可以忍受的。但是對一致性地配置和管理更多的使用者佈建和終端伺服器,它會變得非常困難。

Windows 2003為終端伺服器做了很多,使應用到終端服務的終端伺服器和使用者帳號通過ADSI及Windows管理規範(WMI)實現了許多設定,讓終端伺服器變得更加可管理。您能夠使用管理指令碼來管理這些設定,也可以使用組策略對象(GPO),這樣您可以應用到組織單元(OU)。我向您介紹一些針對使用者與電腦管理配置的GPO方法,並向您展示如何使用他們實施一般的任務。

終端服務策略在哪兒?

當您在一台Windows 2003的電腦上開啟組策略編輯器(GPE)之後,您會在電腦配置和使用者設定檔夾下看到一個新的檔案夾:系統管理範本\Windows組件\終端服務。圖1顯示了在“電腦配置\系統管理範本\Windows組件\終端服務”中可用的設定。這些設定中的某些與使用者配置\系統管理範本\Windows組件\終端服務檔案夾中的是重複的。電腦配置設定被分成好幾個終端服務子檔案夾。表1列出了在電腦配置與使用者配置兩者中終端服務設定的位置。

為配置一個參數,雙擊開啟它的屬性對話方塊,然後適當地選擇啟用或者禁用。您可能需要為某些設定提供額外的資訊;比如,為設定使用者終端會話的主目錄,您必須提供本地或者網路路徑(假設主目錄使用的是網路位置,您希望映射的路徑的網路磁碟機字母)。儘管大部分設定只能應用到Windows 2003的終端伺服器或Windows XP的遠端桌面連線,但少量設定(比如,從啟動菜單中刪除斷開按鈕的選項)能夠應用到Windows 2000終端伺服器。版本需求顯示在每個策略的屬性對話方塊中。

如果您曾經編輯過終端服務預設的使用者和終端伺服器設定,您應該知道存在您可以為伺服器與使用者兩者配置優先控制的參數。一般地,如果存在一個針對伺服器和使用者(就像預設的印表機映射設定那樣)的設定,使用者佈建取得優先權。您可以配置終端服務配置來超越使用者佈建,並給伺服器設定優先權。如果您沒有配置一個GPO,無論您選擇哪一個設定都會優先控制。然而,當您配置一個GPO時,無論您是啟用或者禁用GPO,GPO設定都覆蓋您通過終端服務配置或通過使用者帳號屬性編輯的設定,並取得優先權。如果您為使用者和電腦兩者配置了相同的設定(可能是少量設定,諸如那些管理遠端控制的功能),電腦設定比使用者佈建取得優先權(如果您把GPO連結到域中不同的容器,策略繼承規則會適應地應用。

由於GPO使用的措詞有些模糊,因此當您啟用或者禁用策略時應該小心。例如,如果為終端伺服器使用智慧卡配置參數,並希望確保智慧卡是被支援的,您必須禁用不允許智慧卡重新導向策略。

對終端伺服器應用GPO

為了把GPO應用到終端伺服器,您必須建立一個終端伺服器組織單元,如果有需要,建立一個終端伺服器用戶端組織單元。開啟活動目錄使用者和電腦嵌入式管理單元的微軟管理主控台(MMC),在左邊面板中右擊網域名稱表徵圖。從關聯菜單中選擇建立*組織單元。新的組織單元命名為TerminalServers或者與這個相等的描述,並且把所有終端伺服器放到裡面。

終端服務沒有特定的使用者佈建。因此您可以從簡單地配置終端伺服器策略開始。然而,您可能選擇不在電腦層級配置所有的設定(例如這些與使用者會話的遠端控制相關的設定)。您可以用好幾種方法為使用者佈建。其中一個方法就是為允許登入到終端伺服器的使用者建立一個組織單元。但是,AD對象只能在唯一的OU中,並且把使用者放到指定的OU——Terminal Services可能是不實際的。另一個方法是把設定應用到您建立的使用者組織單元,並且使用迴環策略確保當使用者登入到終端伺服器時適當的設定被應用。為了使用迴環處理,您需要在終端伺服器OU上啟用組策略迴環策略處理模式。這個策略可以在“電腦配置\系統管理範本\系統\組策略”中找到,它控制使用者策略如何被應用到特定目的的電腦,如終端伺服器。為確保終端伺服器策略獲得優先,單擊策略的設定標籤,並且從下拉式功能表中選擇“替換”。

在您建立使用者和終端伺服器組織單元之後,您可以把新的策略應用到這些組織單元了。我將向您展示如何設定管理員,因為這是大部分策略應用的地方。右擊TerminalServers組織單元並選擇“屬性”。選擇組策略標籤開啟如圖2所示的對話方塊。為建立一個新的GPO,單擊“建立”(圖中顯示了一個稱為TS Policies的新GPO),然後單擊“編輯”返回到如圖1所示的組策略對象編輯畫面。

現在您可以準備配置新的原則設定了。您可以從下列配置範例開始:

調整遠端控制設定。遠端控制允許一個管理員直接連接到使用者的會話查看使用者正在做什麼或者進行互動式會話。如果您使用預設的設定,使用者必須明確允許管理員遠端控制他或她的會話,並且管理員能夠與會話進行互動。為了改變組織單元的預設設定,展開電腦配置\系統管理範本\Windows組件\終端服務,啟用為終端服務使用者會話的遠端控制建立規則,如圖3所示。從下列式選項列表中,您可以選擇完全禁用遠端控制或者選擇設定來自兩個主要組其中的一個:完全控制,允許管理員與使用者會話互動;查看會話,允許管理員監視使用者正在做什麼但不能採取行動。在這兩個組中,您能夠指定是否使用者必須明確允許管理員遠端控制他或她的會話、是否管理員沒有獲得權就能夠串連到會話(這些設定也可以在使用者配置\管理模扳\Windows組件\終端服務中找到。如果您在兩個地方設定策略,電腦設定被應用)。

為終端會話配置一個設定檔路徑和主目錄。把設定檔從WTS遷移到終端服務是非常痛苦的,因為終端服務組態檔路徑截然不同於使用者設定檔路徑,它在ADSI中沒有作為使用者帳號的一個屬性實現;因此,您只能通過編輯使用者帳號屬性設定檔路徑,要麼通過GUI要麼運行Tsprof命令列工具。這個資訊現在對組策略來說是可用的。這些策略控制在“電腦配置\系統管理範本\Windows組件終端服務”根目錄中的使用者設定檔和主目錄。為TS漫遊設定檔和TS使用者主目錄啟用路徑設定。為配置設定檔的路徑,包括電腦名稱和設定檔目錄的路徑;伺服器自動填寫使用者名稱。如果您提供的路徑不存在(或者伺服器不能到達),這個帳號將使用本地設定檔。

同樣的過程可應用到建立主目錄——啟用策略,為網際網路共用輸入通過命名標準(UNC)名稱,如果有需要(對於需要一個磁碟機字母的應用程式),指定一個本地磁碟機字母。我一般不推薦把使用者主目錄放在本地終端伺服器上,除非您沒有其他選擇;這樣做根據他們已連線的服務可以給他們單獨的主目錄,使備份和定位使用者檔案變得困難。

一個發展中的解決方案

每個終端伺服器的下一版本越來越接近一個完美的解決方案,即使對於有許多使用者的大型公司。儘管Windows 2003的終端服務仍然有一些需要由第三方產品彌補的缺陷,但是已經添加了很多使配置大量伺服器或使用者帳號更容易的正規的伺服器和組管理工具。





相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。