熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

使用組策略對象配置終端服務

2013-11-11 21:30:42  來源: Windows系統管理 

  自從年微軟發布第一個Windows NT 終端服務器版(WTS)以來很多公司大大改善了使用RDP連接到終端服務器的用戶體驗在Windows RDP客戶端幾乎達到了與使
  
  用ICA客戶端到Citrix MetaFrame服務器一樣的功能僅缺少支持應用程序發布與無狀態窗口(應用程序發布指使一個連接指向一台終端服務器上的一個應用程序無狀態窗口則允許最終用戶在一台終端服務器上對同一個會話維持多個連接並且這樣不會成倍地使用資源)
  
  但是微軟歷來不太注重對WTS和Windows 服務器上的終端服務器改善管理NT 早於WTS因此核心的NT操作系統並沒有終端服務器管理能力——即使用戶賬號管理也必須在一台WTS計算機或者使用支持WTS的用戶賬號管理器來完成Windows 在核心的操作系統中包括對終端服務的支持但是服務器管理工具僅適合於管理很小數量的用戶或者服務器因為您必須為每個用戶或者每台計算機單獨配置終端服務的設置而終端服務器的設置如用戶配置文件路徑並不是通過活動目錄服務接口(ADSI)來實現除了使用命令行工具可能實現以外您不能腳本化服務器的管理如果您計劃保持默認設置或者您只有兩三個用戶賬號或服務器需要配置這個限制還是可以忍受的但是對一致性地配置和管理更多的用戶設置和終端服務器它會變得非常困難
  
  Windows 為終端服務器做了很多使應用到終端服務的終端服務器和用戶賬號通過ADSI及Windows管理規范(WMI)實現了許多設置讓終端服務器變得更加可管理您能夠使用管理腳本來管理這些設置也可以使用組策略對象(GPO)這樣您可以應用到組織單元(OU)我向您介紹一些針對用戶與計算機管理配置的GPO方法並向您展示如何使用他們實施一般的任務
  
  終端服務策略在哪兒?
  
  當您在一台Windows 的計算機上打開組策略編輯器(GPE)之後您會在計算機配置和用戶配置文件夾下看到一個新的文件夾管理模板\Windows組件\終端服務顯示了在計算機配置\管理模板\Windows組件\終端服務中可用的設置這些設置中的某些與用戶配置\管理模板\Windows組件\終端服務文件夾中的是重復的計算機配置設置被分成好幾個終端服務子文件夾列出了在計算機配置與用戶配置兩者中終端服務設置的位置
  
  為配置一個參數雙擊打開它的屬性對話框然後適當地選擇啟用或者禁用您可能需要為某些設置提供額外的信息比如為設置用戶終端會話的主目錄您必須提供本地或者網絡路徑(假設主目錄使用的是網絡位置您希望映射的路徑的網絡驅動器字母)盡管大部分設置只能應用到Windows 的終端服務器或Windows XP的遠程桌面連接但少量設置(比如從啟動菜單中刪除斷開按鈕的選項)能夠應用到Windows 終端服務器版本需求顯示在每個策略的屬性對話框中
  
  如果您曾經編輯過終端服務默認的用戶和終端服務器設置您應該知道存在您可以為服務器與用戶兩者配置優先控制的參數一般地如果存在一個針對服務器和用戶(就像默認的打印機映射設置那樣)的設置用戶設置取得優先權您可以配置終端服務配置來超越用戶設置並給服務器設置優先權如果您沒有配置一個GPO無論您選擇哪一個設置都會優先控制然而當您配置一個GPO時無論您是啟用或者禁用GPOGPO設置都覆蓋您通過終端服務配置或通過用戶賬號屬性編輯的設置並取得優先權如果您為用戶和計算機兩者配置了相同的設置(可能是少量設置諸如那些管理遠程控制的功能)計算機設置比用戶設置取得優先權(如果您把GPO鏈接到域中不同的容器策略繼承規則會適應地應用
  
  由於GPO使用的措詞有些模糊因此當您啟用或者禁用策略時應該小心例如如果為終端服務器使用智能卡配置參數並希望確保智能卡是被支持的您必須禁用不允許智能卡重定向策略
  
  對終端服務器應用GPO
  
  為了把GPO應用到終端服務器您必須創建一個終端服務器組織單元如果有需要創建一個終端服務器客戶端組織單元打開活動目錄用戶和計算機管理單元的微軟管理控制台(MMC)在左邊面板中右擊域名圖標從關聯菜單中選擇新建*組織單元新的組織單元命名為TerminalServers或者與這個相等的描述並且把所有終端服務器放到裡面
  
  終端服務沒有特定的用戶設置因此您可以從簡單地配置終端服務器策略開始然而您可能選擇不在計算機級別配置所有的設置(例如這些與用戶會話的遠程控制相關的設置)您可以用好幾種方法為用戶設置其中一個方法就是為允許登錄到終端服務器的用戶創建一個組織單元但是AD對象只能在唯一的OU中並且把用戶放到指定的OU——Terminal Services可能是不實際的另一個方法是把設置應用到您創建的用戶組織單元並且使用回環策略確保當用戶登錄到終端服務器時適當的設置被應用為了使用回環處理您需要在終端服務器OU上啟用組策略回環策略處理模式這個策略可以在計算機配置\管理模板\系統\組策略中找到它控制用戶策略如何被應用到特定目的的計算機如終端服務器為確保終端服務器策略獲得優先單擊策略的設置標簽並且從下拉菜單中選擇替換
  
  在您創建用戶和終端服務器組織單元之後您可以把新的策略應用到這些組織單元了我將向您展示如何配置服務器因為這是大部分策略應用的地方右擊TerminalServers組織單元並選擇屬性選擇組策略標簽打開如圖所示的對話框為創建一個新的GPO單擊新建(圖中顯示了一個稱為TS Policies的新GPO)然後單擊編輯返回到如圖所示的組策略對象編輯畫面
  
  現在您可以准備配置新的策略設置了您可以從下列配置樣例開始
  
  調整遠程控制設置遠程控制允許一個管理員直接連接到用戶的會話查看用戶正在做什麼或者進行交互式會話如果您使用默認的設置用戶必須明確允許管理員遠程控制他或她的會話並且管理員能夠與會話進行交互為了改變組織單元的默認設置展開計算機配置\管理模板\Windows組件\終端服務啟用為終端服務用戶會話的遠程控制創建規則如圖所示從下列式選項列表中您可以選擇完全禁用遠程控制或者選擇設置來自兩個主要組其中的一個完全控制允許管理員與用戶會話交互查看會話允許管理員監視用戶正在做什麼但不能采取行動在這兩個組中您能夠指定是否用戶必須明確允許管理員遠程控制他或她的會話是否管理員沒有獲得權就能夠連接到會話(這些設置也可以在用戶配置\管理模扳\Windows組件\終端服務中找到如果您在兩個地方設置策略計算機設置被應用)
  
  為終端會話配置一個配置文件路徑和主目錄把配置文件從WTS遷移到終端服務是非常痛苦的因為終端服務配置文件路徑截然不同於用戶配置文件路徑它在ADSI中沒有作為用戶賬號的一個屬性實現因此您只能通過編輯用戶賬號屬性配置文件路徑要麼通過GUI要麼運行Tsprof命令行工具這個信息現在對組策略來說是可用的這些策略控制在計算機配置\管理模板\Windows組件終端服務根目錄中的用戶配置文件和主目錄為TS漫游配置文件和TS用戶主目錄啟用路徑設置為配置配置文件的路徑包括計算機名稱和配置文件目錄的路徑服務器自動填寫用戶名如果您提供的路徑不存在(或者服務器不能到達)這個賬號將使用本地配置文件
  
  同樣的過程可應用到創建主目錄——啟用策略為網絡共享輸入通過命名標准(UNC)名稱如果有需要(對於需要一個驅動器字母的應用程序)指定一個本地驅動器字母我一般不推薦把用戶主目錄放在本地終端服務器上除非您沒有其他選擇這樣做根據他們連接的服務可以給他們單獨的主目錄使備份和定位用戶文件變得困難
  
  一個發展中的解決方案
  
  每個終端服務器的下一版本越來越接近一個完美的解決方案即使對於有許多用戶的大型公司盡管Windows 的終端服務仍然有一些需要由第三方產品彌補的缺陷但是已經添加了很多使配置大量服務器或用戶賬號更容易的正規的服務器和組管理工具
From:http://tw.wingwit.com/Article/os/xtgl/201311/8629.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.