自从年微软发布第一个Windows NT 终端服务器版(WTS)以来很多公司大大改善了使用RDP连接到终端服务器的用户体验在Windows 中RDP客户端几乎达到了与使 用ICA客户端到Citrix MetaFrame服务器一样的功能仅缺少支持应用程序发布与无状态窗口(应用程序发布指使一个连接指向一台终端服务器上的一个应用程序无状态窗口则允许最终用户在一台终端服务器上对同一个会话维持多个连接并且这样不会成倍地使用资源) 但是微软历来不太注重对WTS和Windows 服务器上的终端服务器改善管理NT 早于WTS因此核心的NT操作系统并没有终端服务器管理能力——即使用户账号管理也必须在一台WTS计算机或者使用支持WTS的用户账号管理器来完成Windows 在核心的操作系统中包括对终端服务的支持但是服务器管理工具仅适合于管理很小数量的用户或者服务器因为您必须为每个用户或者每台计算机单独配置终端服务的设置而终端服务器的设置如用户配置文件路径并不是通过活动目录服务接口(ADSI)来实现除了使用命令行工具可能实现以外您不能脚本化服务器的管理如果您计划保持默认设置或者您只有两三个用户账号或服务器需要配置这个限制还是可以忍受的但是对一致性地配置和管理更多的用户设置和终端服务器它会变得非常困难 Windows 为终端服务器做了很多使应用到终端服务的终端服务器和用户账号通过ADSI及Windows管理规范(WMI)实现了许多设置让终端服务器变得更加可管理您能够使用管理脚本来管理这些设置也可以使用组策略对象(GPO)这样您可以应用到组织单元(OU)我向您介绍一些针对用户与计算机管理配置的GPO方法并向您展示如何使用他们实施一般的任务 终端服务策略在哪儿? 当您在一台Windows 的计算机上打开组策略编辑器(GPE)之后您会在计算机配置和用户配置文件夹下看到一个新的文件夹管理模板\Windows组件\终端服务图显示了在计算机配置\管理模板\Windows组件\终端服务中可用的设置这些设置中的某些与用户配置\管理模板\Windows组件\终端服务文件夹中的是重复的计算机配置设置被分成好几个终端服务子文件夹表列出了在计算机配置与用户配置两者中终端服务设置的位置 为配置一个参数双击打开它的属性对话框然后适当地选择启用或者禁用您可能需要为某些设置提供额外的信息比如为设置用户终端会话的主目录您必须提供本地或者网络路径(假设主目录使用的是网络位置您希望映射的路径的网络驱动器字母)尽管大部分设置只能应用到Windows 的终端服务器或Windows XP的远程桌面连接但少量设置(比如从启动菜单中删除断开按钮的选项)能够应用到Windows 终端服务器版本需求显示在每个策略的属性对话框中 如果您曾经编辑过终端服务默认的用户和终端服务器设置您应该知道存在您可以为服务器与用户两者配置优先控制的参数一般地如果存在一个针对服务器和用户(就像默认的打印机映射设置那样)的设置用户设置取得优先权您可以配置终端服务配置来超越用户设置并给服务器设置优先权如果您没有配置一个GPO无论您选择哪一个设置都会优先控制然而当您配置一个GPO时无论您是启用或者禁用GPOGPO设置都覆盖您通过终端服务配置或通过用户账号属性编辑的设置并取得优先权如果您为用户和计算机两者配置了相同的设置(可能是少量设置诸如那些管理远程控制的功能)计算机设置比用户设置取得优先权(如果您把GPO链接到域中不同的容器策略继承规则会适应地应用 由于GPO使用的措词有些模糊因此当您启用或者禁用策略时应该小心例如如果为终端服务器使用智能卡配置参数并希望确保智能卡是被支持的您必须禁用不允许智能卡重定向策略 对终端服务器应用GPO 为了把GPO应用到终端服务器您必须创建一个终端服务器组织单元如果有需要创建一个终端服务器客户端组织单元打开活动目录用户和计算机管理单元的微软管理控制台(MMC)在左边面板中右击域名图标从关联菜单中选择新建*组织单元新的组织单元命名为TerminalServers或者与这个相等的描述并且把所有终端服务器放到里面 终端服务没有特定的用户设置因此您可以从简单地配置终端服务器策略开始然而您可能选择不在计算机级别配置所有的设置(例如这些与用户会话的远程控制相关的设置)您可以用好几种方法为用户设置其中一个方法就是为允许登录到终端服务器的用户创建一个组织单元但是AD对象只能在唯一的OU中并且把用户放到指定的OU——Terminal Services可能是不实际的另一个方法是把设置应用到您创建的用户组织单元并且使用回环策略确保当用户登录到终端服务器时适当的设置被应用为了使用回环处理您需要在终端服务器OU上启用组策略回环策略处理模式这个策略可以在计算机配置\管理模板\系统\组策略中找到它控制用户策略如何被应用到特定目的的计算机如终端服务器为确保终端服务器策略获得优先单击策略的设置标签并且从下拉菜单中选择替换 在您创建用户和终端服务器组织单元之后您可以把新的策略应用到这些组织单元了我将向您展示如何配置服务器因为这是大部分策略应用的地方右击TerminalServers组织单元并选择属性选择组策略标签打开如图所示的对话框为创建一个新的GPO单击新建(图中显示了一个称为TS Policies的新GPO)然后单击编辑返回到如图所示的组策略对象编辑画面 现在您可以准备配置新的策略设置了您可以从下列配置样例开始 调整远程控制设置远程控制允许一个管理员直接连接到用户的会话查看用户正在做什么或者进行交互式会话如果您使用默认的设置用户必须明确允许管理员远程控制他或她的会话并且管理员能够与会话进行交互为了改变组织单元的默认设置展开计算机配置\管理模板\Windows组件\终端服务启用为终端服务用户会话的远程控制创建规则如图所示从下列式选项列表中您可以选择完全禁用远程控制或者选择设置来自两个主要组其中的一个完全控制允许管理员与用户会话交互查看会话允许管理员监视用户正在做什么但不能采取行动在这两个组中您能够指定是否用户必须明确允许管理员远程控制他或她的会话是否管理员没有获得权就能够连接到会话(这些设置也可以在用户配置\管理模扳\Windows组件\终端服务中找到如果您在两个地方设置策略计算机设置被应用) 为终端会话配置一个配置文件路径和主目录把配置文件从WTS迁移到终端服务是非常痛苦的因为终端服务配置文件路径截然不同于用户配置文件路径它在ADSI中没有作为用户账号的一个属性实现因此您只能通过编辑用户账号属性配置文件路径要么通过GUI要么运行Tsprof命令行工具这个信息现在对组策略来说是可用的这些策略控制在计算机配置\管理模板\Windows组件终端服务根目录中的用户配置文件和主目录为TS漫游配置文件和TS用户主目录启用路径设置为配置配置文件的路径包括计算机名称和配置文件目录的路径服务器自动填写用户名如果您提供的路径不存在(或者服务器不能到达)这个账号将使用本地配置文件 同样的过程可应用到创建主目录——启用策略为网络共享输入通过命名标准(UNC)名称如果有需要(对于需要一个驱动器字母的应用程序)指定一个本地驱动器字母我一般不推荐把用户主目录放在本地终端服务器上除非您没有其他选择这样做根据他们连接的服务可以给他们单独的主目录使备份和定位用户文件变得困难 一个发展中的解决方案 每个终端服务器的下一版本越来越接近一个完美的解决方案即使对于有许多用户的大型公司尽管Windows 的终端服务仍然有一些需要由第三方产品弥补的缺陷但是已经添加了很多使配置大量服务器或用户账号更容易的正规的服务器和组管理工具 |