【51CTO精选译文】虽然微软通过向导程序以及直接为RDS服务器管理工具(RDS Server Manager Tool)提供越来越多的设置,但几乎所有设置仍作为微软组策略里面的一个配置设置而出现。由于微软决定把所有RDS设置都放在组策略对象(GPO)配置的一个文件夹里面,我经常遇到有些人不明白哪些设置应该适用于哪几项,或者不明白设置的具体配置是什么。我在该文章系列中将逐一介绍可用的RDS策略,介绍你可以用它来配置什么,以及该设置应该适用于哪一项。
RDS策略设置的位置
RDS策略设置可能出现在Computer Configuration(计算机配置)上,也可能出现在User Configuration(用户配置)上。许多设置在计算机配置和用户配置之间共享,但逻辑上适用于计算机层面或用户层面。如果你在计算机层面或用户层面配置设置,会发现Administrative Tools(管理工具)- Windows Components(Windows组件)- Remote Desktop Services(远程桌面服务)下的设置是独立的。我会先介绍计算机配置方面的可用策略选项。
计算机配置策略的设置
在组策略编辑器里面打开远程桌面服务面板后,你会看到三个子文件夹。
图1:远程桌面配置计算机配置设置子文件夹
每个子文件夹代表RDS堆栈的一个不同部分。文件夹RD Licensing包含RD Licensing Server组件的设置,文件夹Remote Desktop Connection Client提供了适用于RDP客户端的设置,而文件夹Remote Desktop Session Host文件夹RDS服务器可用的设置。这是我见过的一种错误:设置适用于错误的计算机。不妨先说说可用的RD Licensing设置,这些设置在图1中也有所显示。
RD 授权
- 许可证服务器安全组
默认情况下,客户端请求许可证时,RDS许可证服务器会为远程桌面会话主机提供许可证。不过,这个行为可以用许可证服务器安全组(License Server Security Group)设置来改变。启用该策略设置会让许可证只提供给属于(本地)RDS端点服务器组成员的远程桌面会话主机。如果某服务器没有在该组中列出来,就不提供任何许可证。默认情况下,该设置未经配置,这跟使用Disabled(禁用)选项来配置该策略是同一种行为(那样所有许可证请求将得到承认,RDS终端服务器组的内容将不被使用)。如果你想全面控制许可证发放,该策略就很有用。
- 防止许可证升级
适用于RDS许可证服务器的第二个设置被标为Prevent License Upgrade(防止许可证升级)。默认情况下,RDS许可证服务器会提供与远程桌面会话主机(或2003终端服务器)同一层面的RDS客户端访问许可证(CAL)。如果没有此类许可证,远程桌面许可证服务器就会提供更高级别的RDS CAL。所以在没有2003 RDS CAL可用,但2008 RDS CAL可用的情况下,就会分配2008 RDS CAL。如果你启用防止许可证升级这个设置,没有一个2008 RDS CAL会提供给2003远程桌面会话主机客户端,但会发放临时的2003 RDS CAL。在客户端之前已经请求CAL、临时CAL到期的情况下,客户端无法建立连接。本人并不觉得配置该设置有任何优点而言。策略被设成Not Configured(不配置)或Disabled(禁用)将提供前面所述的默认行为。
远程桌面链接客户端
第二个部分关于需要适用于启动MS RDP Client(mstsc.exe,又叫RDC Client)的机器的设置。下列设置是Remote Desktop Client可用的设置。
图2:Remote Desktop Connection Client设置
- 允许来自有效发行商的.rdp文件和用户的默认.rdp设置
你可以用这个设置来控制用户如何开始建立远程桌面连接。该设置被启用后,用户可以开始建立基于RDP文件(由有效发行商签名)的RDP连接,或者将服务器名称填入到RDP客户端,手动启动会话。如果你想仅仅允许那两种连接,应该启用下面这个设置:"Allow .rdp files from unknown publishers"(允许来自未知发行商的.rdp文件)。该设置还可以用来完全禁止使用远程桌面客户端,只需要禁用该设置。然后,用户就无法通过在远程桌面客户端输入服务器名称,手动开始建立RDP连接。我可以想象在一些情况下,你希望启动来自有效发行商的RDP文件,但又不想让用户手动建立连接。遗憾的是,目前的策略设置做不到这点。
该设置还出现在用户层面上,但在计算机层面上配置设置会引起配置适用于所有用户。
图3:禁用允许来自有效发行商的.rdp文件和用户的默认.rdp设置,就可以禁止远程桌面连接
- 允许来自未知发行商的.rdp文件
如果你想让用户只能开始建立基于有效发行商签名的RDP文件的RDP连接,就应该启用该设置。这将不允许用户通过远程桌面客户端开始建立手动连接,只有来自未知发行商的RDP文件将被阻止。Not Configured(不配置)意味着,可以启动来自未知发行商的.rdp文件,不过会显示警告信息。
- 不允许密码被保存
如果你不希望用户有可能使用复选框"Remember my credentials"(记住我的登录凭证),就应该启用该策略设置。复选框会被禁用,RDP文件中不会保存任何密码。默认情况下,用户可以使用"remember my credentials"复选框。可遗憾的是,你无法使用会话主机上的策略设置,获得类似的结果。
- 指定代表可信.rdp发行商的证书的SHA1指纹
如果你使用可信.rdp发行商,那些RDP文件应该加以签名。借助"Specify SHA1 thumbprints of certificates representing trusted .rdp publishers"(指定代表可信.rdp发行商的证书的SHA1指纹)这个策略,你可以为证书可信的系统提供RDP文件。确切的值位于指纹字段里面的一个或多个证书的属性。
- 关闭客户端UDP
默认情况下,RDP客户端使用UDP和TCP与远程桌面会话主机进行联系。借助这个设置,你可以配置远程桌面客户端,以便它只使用基于TCP的通信。
- 提示客户端计算机上输入登录凭证
微软改变了建立RDP会话时,要求用户输入登录凭证的方法。在Windows Server 2000和2003中,会话已经建立完毕后(在终端服务器上建立),用户提供登录凭证。从Windows 2008开始,用户将提供已经在客户端上的用户登录凭证,所以在会话之前出示给最终用户。启用该设置让你可以为所有远程桌面会话获得一样的行为(在Windows 2008版本之前也是如此)。登录凭证保存到RDP文件中后,系统不会提示用户输入登录凭证。
- 为客户端配置服务器验证
服务器验证基于加密级别,***加密级别使用TLS(基于证书)。借助Configure Server authentication for client(为客户端配置服务器验证),你可以配置加密级别何时不匹配。默认情况下,如果验证失败,客户端会警告,但连接照样建立。你还可以将该策略设成"Always connect even if authentication fails"(即使验证失败,始终连接),那样警告信息不显示,或者将该策略设成"Do not connect if authentication fails"(如果验证失败,不连接),那样RDP连接无法建立。
结束语
在该文章系列的***个部分,我们探讨了配置RDS设置的几种可行的方法,策略具有压倒性地位。我们还看到了RDS策略既有计算机设置,又有用户设置。我们开始介绍了计算机配置设置,包括描述它们应该适用于哪些组件。在第二个部分中,我们将继续介绍远程桌面会话主机可用的设置,随后介绍可用的用户设置。
