自從
年微軟發布第一個Windows NT
終端服務器版(WTS)以來
很多公司大大改善了使用RDP連接到終端服務器的用戶體驗
在Windows
中
RDP客戶端幾乎達到了與使
用ICA客戶端到Citrix MetaFrame服務器一樣的功能
僅缺少支持應用程序發布與無狀態窗口(應用程序發布指使一個連接指向一台終端服務器上的一個應用程序
無狀態窗口則允許最終用戶在一台終端服務器上對同一個會話維持多個連接
並且這樣不會成倍地使用資源)
但是
微軟歷來不太注重對WTS和Windows
服務器上的終端服務器改善管理
NT
早於WTS
因此核心的NT操作系統並沒有終端服務器管理能力——即使用戶賬號管理也必須在一台WTS計算機或者使用支持WTS的用戶賬號管理器來完成
Windows
在核心的操作系統中包括對終端服務的支持
但是服務器管理工具僅適合於管理很小數量的用戶或者服務器
因為您必須為每個用戶或者每台計算機單獨配置終端服務的設置
而終端服務器的設置
如用戶配置文件路徑並不是通過活動目錄服務接口(ADSI)來實現
除了使用命令行工具可能實現以外
您不能腳本化服務器的管理
如果您計劃保持默認設置或者您只有兩三個用戶賬號或服務器需要配置
這個限制還是可以忍受的
但是對一致性地配置和管理更多的用戶設置和終端服務器
它會變得非常困難
Windows
為終端服務器做了很多
使應用到終端服務的終端服務器和用戶賬號通過ADSI及Windows管理規范(WMI)實現了許多設置
讓終端服務器變得更加可管理
您能夠使用管理腳本來管理這些設置
也可以使用組策略對象(GPO)
這樣您可以應用到組織單元(OU)
我向您介紹一些針對用戶與計算機管理配置的GPO方法
並向您展示如何使用他們實施一般的任務
終端服務策略在哪兒? 當您在一台Windows
的計算機上打開組策略編輯器(GPE)之後
您會在計算機配置和用戶配置文件夾下看到一個新的文件夾
管理模板\Windows組件\終端服務
圖
顯示了在
計算機配置\管理模板\Windows組件\終端服務
中可用的設置
這些設置中的某些與用戶配置\管理模板\Windows組件\終端服務文件夾中的是重復的
計算機配置設置被分成好幾個終端服務子文件夾
表
列出了在計算機配置與用戶配置兩者中終端服務設置的位置
為配置一個參數
雙擊打開它的屬性對話框
然後適當地選擇啟用或者禁用
您可能需要為某些設置提供額外的信息
比如
為設置用戶終端會話的主目錄
您必須提供本地或者網絡路徑(假設主目錄使用的是網絡位置
您希望映射的路徑的網絡驅動器字母)
盡管大部分設置只能應用到Windows
的終端服務器或Windows XP的遠程桌面連接
但少量設置(比如
從啟動菜單中刪除斷開按鈕的選項)能夠應用到Windows
終端服務器
版本需求顯示在每個策略的屬性對話框中
如果您曾經編輯過終端服務默認的用戶和終端服務器設置
您應該知道存在您可以為服務器與用戶兩者配置優先控制的參數
一般地
如果存在一個針對服務器和用戶(就像默認的打印機映射設置那樣)的設置
用戶設置取得優先權
您可以配置終端服務配置來超越用戶設置
並給服務器設置優先權
如果您沒有配置一個GPO
無論您選擇哪一個設置都會優先控制
然而
當您配置一個GPO時
無論您是啟用或者禁用GPO
GPO設置都覆蓋您通過終端服務配置或通過用戶賬號屬性編輯的設置
並取得優先權
如果您為用戶和計算機兩者配置了相同的設置(可能是少量設置
諸如那些管理遠程控制的功能)
計算機設置比用戶設置取得優先權(如果您把GPO鏈接到域中不同的容器
策略繼承規則會適應地應用
由於GPO使用的措詞有些模糊
因此當您啟用或者禁用策略時應該小心
例如
如果為終端服務器使用智能卡配置參數
並希望確保智能卡是被支持的
您必須禁用不允許智能卡重定向策略
對終端服務器應用GPO 為了把GPO應用到終端服務器
您必須創建一個終端服務器組織單元
如果有需要
創建一個終端服務器客戶端組織單元
打開活動目錄用戶和計算機管理單元的微軟管理控制台(MMC)
在左邊面板中右擊域名圖標
從關聯菜單中選擇新建*組織單元
新的組織單元命名為TerminalServers或者與這個相等的描述
並且把所有終端服務器放到裡面
終端服務沒有特定的用戶設置
因此您可以從簡單地配置終端服務器策略開始
然而
您可能選擇不在計算機級別配置所有的設置(例如這些與用戶會話的遠程控制相關的設置)
您可以用好幾種方法為用戶設置
其中一個方法就是為允許登錄到終端服務器的用戶創建一個組織單元
但是
AD對象只能在唯一的OU中
並且把用戶放到指定的OU——Terminal Services可能是不實際的
另一個方法是把設置應用到您創建的用戶組織單元
並且使用回環策略確保當用戶登錄到終端服務器時適當的設置被應用
為了使用回環處理
您需要在終端服務器OU上啟用組策略回環策略處理模式
這個策略可以在
計算機配置\管理模板\系統\組策略
中找到
它控制用戶策略如何被應用到特定目的的計算機
如終端服務器
為確保終端服務器策略獲得優先
單擊策略的設置標簽
並且從下拉菜單中選擇
替換
在您創建用戶和終端服務器組織單元之後
您可以把新的策略應用到這些組織單元了
我將向您展示如何配置服務器
因為這是大部分策略應用的地方
右擊TerminalServers組織單元並選擇
屬性
選擇組策略標簽打開如圖
所示的對話框
為創建一個新的GPO
單擊
新建
(圖中顯示了一個稱為TS Policies的新GPO)
然後單擊
編輯
返回到如圖
所示的組策略對象編輯畫面
現在您可以准備配置新的策略設置了
您可以從下列配置樣例開始
調整遠程控制設置
遠程控制允許一個管理員直接連接到用戶的會話查看用戶正在做什麼或者進行交互式會話
如果您使用默認的設置
用戶必須明確允許管理員遠程控制他或她的會話
並且管理員能夠與會話進行交互
為了改變組織單元的默認設置
展開計算機配置\管理模板\Windows組件\終端服務
啟用為終端服務用戶會話的遠程控制創建規則
如圖
所示
從下列式選項列表中
您可以選擇完全禁用遠程控制或者選擇設置來自兩個主要組其中的一個
完全控制
允許管理員與用戶會話交互
查看會話
允許管理員監視用戶正在做什麼但不能采取行動
在這兩個組中
您能夠指定是否用戶必須明確允許管理員遠程控制他或她的會話
是否管理員沒有獲得權就能夠連接到會話(這些設置也可以在用戶配置\管理模扳\Windows組件\終端服務中找到
如果您在兩個地方設置策略
計算機設置被應用)
為終端會話配置一個配置文件路徑和主目錄
把配置文件從WTS遷移到終端服務是非常痛苦的
因為終端服務配置文件路徑截然不同於用戶配置文件路徑
它在ADSI中沒有作為用戶賬號的一個屬性實現
因此
您只能通過編輯用戶賬號屬性配置文件路徑
要麼通過GUI要麼運行Tsprof命令行工具
這個信息現在對組策略來說是可用的
這些策略控制在
計算機配置\管理模板\Windows組件終端服務
根目錄中的用戶配置文件和主目錄
為TS漫游配置文件和TS用戶主目錄啟用路徑設置
為配置配置文件的路徑
包括計算機名稱和配置文件目錄的路徑
服務器自動填寫用戶名
如果您提供的路徑不存在(或者服務器不能到達)
這個賬號將使用本地配置文件
同樣的過程可應用到創建主目錄——啟用策略
為網絡共享輸入通過命名標准(UNC)名稱
如果有需要(對於需要一個驅動器字母的應用程序)
指定一個本地驅動器字母
我一般不推薦把用戶主目錄放在本地終端服務器上
除非您沒有其他選擇
這樣做根據他們連接的服務可以給他們單獨的主目錄
使備份和定位用戶文件變得困難
一個發展中的解決方案 每個終端服務器的下一版本越來越接近一個完美的解決方案
即使對於有許多用戶的大型公司
盡管Windows
的終端服務仍然有一些需要由第三方產品彌補的缺陷
但是已經添加了很多使配置大量服務器或用戶賬號更容易的正規的服務器和組管理工具
From:http://tw.wingwit.com/Article/os/xtgl/201311/8629.html
