【51CTO精选译文】在本文中,作者探讨了计算机配置层面上远程桌面会话主机的可用设置。如果你想阅读该文章系列的***个部分,请参阅《全方位细述微软RDS策略:计算机配置》。
引文
在文章系列的***个部分中,我们开始介绍了如何配置RDS设置,策略总是具有主导地位。我们继续介绍了在计算机配置和用户配置里面的可用策略位置。我们先介绍了计算机配置里面的可用策略设置,它们应该适用于RDS许可证服务器和RDS客户端。在这第二个部分中,我们将探讨计算机配置层面上远程桌面会话主机的可用设置。
计算机配置策略的设置
远程桌面会话主机
就远程桌面会话(远程桌面会话主机)而言,策略分别位于几个子文件夹,如下图所示。
图1:远程桌面会话主机策略概图
应用程序兼容性--关闭Windows安装工具RDS兼容性
图2:远程桌面会话主机――应用程序兼容性
你可以借助该设置,改变远程桌面会话主机上的Windows安装工具行为。默认情况下,RDS兼容性被启用,因而可以让每个用户运行Windows安装工具功能。如果你启用该设置(导致禁用Windows安装工具RDS兼容性),单单一个msisexec进程的所有请求都排队等候。我个人觉得没有理由要禁用这项功能。 Application Compatibility - Turn on Remote Desktop IP virtualization(应用程序兼容性――开启远程桌面IP虚拟化)
一些应用程序需要唯一的IP地址;如果应用程序在远程桌面会话主机上运行,一些应用程序需要唯一的IP地址,而默认情况下从逻辑上来讲事实并非如此。为了解决这个问题,微软引入了远程桌面IP虚拟化(Remote Desktop IP Virtualization)。你可以借助该设置,启用IP虚拟化功能。启用该设置时,你需要指定针对会话还是针对程序提供虚拟IP。如果针对程序提供虚拟IP,就要定义IP地址应根据哪个可执行文件来配置。桌面IP虚拟化还需要配置下一个设置。
应用程序兼容性――选择用于远程桌面IP虚拟化的网络适配器
如果你需要使用远程桌面IP虚拟化,就必须配置该设置。你需要指定用于该功能的网卡的IP地址。除了IP地址外,你还要指定使用斜线记法的网络掩码,比如192.168.77.201/24。
应用程序兼容性――没有虚拟IP地址时,不使用远程桌面会话主机服务器IP地址
没有虚拟IP地址可用时,默认情况下,会话将使用远程桌面会话主机的IP地址(就好像你没有启用远程桌面IP虚拟化)。如果你不想这样,就应该启用该设置,但要牢记:会话根本没有网络连接性。所以启用该设置时务必要小心,它完全用于实际的特定使用场合。
图3:远程桌面会话主机――连接
连接――自动重新连接
你可以借助该设置控制自动重新连接行为。默认情况下,它已被启用。将该设置设为禁用后,自动重新连接被禁用。你通常没必要配置该设置,因为默认情况下,自动重新连接已被启用。
连接――允许用户通过使用远程桌面服务,实现远程连接
虽然它是一个远程桌面会话主机策略,但我只在非远程桌面会话主机服务器上使用该策略,因为在RDS会话主机角色安装后,允许用户使用RDS来进行连接。不过,该设置对没有安装RDS,但是想为管理员启用RDP访问的服务器来说很有用。启用该策略,让系统属性Remote Tab(远程选项卡)上配置的Remote Access(远程访问)已勾选。
连接――拒绝已登录到控制台的管理员注销
该设置只适用于XP和Windows 2003,所以它实际上过时了。另一个管理员通过RDP客户端连接到控制台时,该设置可阻止已连接到控制台的管理员注销。
连接--配置保持活动连接的间隔
你可以借助该设置,配置服务器多久检查会话状态,以分钟为单位。如果你不配置该设置,会话状态就不受到检查。超过间隔后,服务器会检查被列为已连接的会话是不是实际上仍在与服务器通信。
连接--限制连接数量
默认情况下,远程桌面会话主机对可以在远程桌面会话主机上建立的会话数量没有限制。该策略启用后,你可以定义在远程桌面会话主机上所能建立的最多会话数量。
会话――暂停用户登录,以完成应用程序注册
这是针对***操作系统的新策略。默认情况下,只要系统启动,就可以建立RDS会话,同时在后台注册应用程序。一些应用程序只有应用程序注册全部完成后才能运行。启用该策略将会带来这个事实:服务器要等6分钟,之后才可以建立RDS会话。它还用于需要定制开始菜单的这种场合。另一种场合就是,提供一个自动化的小维护窗口,用于清理服务器。
连接--为远程控制远程桌面服务设定规则
你可以借助该策略,定义是否允许远程控制(又叫shadowing)、通过哪种方法来远程控制(全面控制或查看会话等)。由于这个策略用于远程控制,它并不适用于Window Server 2012,因为只有远程援助(Remote Assistance)可用。然而,策略并不将Windows Server 2012 R2列作可适用,不过微软在该版本中重新引入了远程控制机制。(所以我预计该设置同样适用于R2,但没有进行过测试。)
连接――选择服务器上的网络检测
你可以借助该策略,改变远程桌面连接主机根据初始连接(连接时段检测)和会话期间(持续网络检测),确定网络质量的方式。你可以禁用其中一个,也可以两个都禁用。禁用连接时段检测将引起会话总是连接(基于低速连接),而禁用持续网络检测确保:即使网络质量在会话期间有所变化,也无法调整会话。该策略只适用于***版本的操作系统;在我看来,它应该只在特定的使用场合下加以调整。
连接――选择RDP传输协议
远程桌面客户端设备里面也有一个类似的设置。不过,该策略基于主机,而不是基于客户端。就跟客户端设置一样,你可以配置是不是想同时使用UDP和TCP,还是只想使用UDP或只想使用TCP。
连接--将远程桌面服务用户限制在单单一个远程桌面服务会话
你可以借助该策略,限制用户在服务器上只有一个会话,不然用户可能会有多个会话。当会话处于断开状态时,用户将自动被重定向至这个断开的会话。这种行为还可能是RDS管理控制台里面的集合层面所特有的。
连接――允许远程启动未列出的程序
默认情况下,用户只能启动被定义为RemoteApps(不发行远程桌面时)的程序。在特定的场合下,你可能想改变这种行为(但这种情况下你为何要将那个程序发行为RemoteApp?)。你可以启用"Allow remote start of unlisted programs "(允许远程启动未列出的程序)这个策略。该设置被启用后,可以启动远程桌面会话主机上的任何可用程序。
连接--关闭公平共享CPU调度
默认情况下,微软启用了Fair Share CPU Scheduling(公平共享CPU调度)。你可以借助该策略设置,关闭这项功能。在我所写的《远程桌面会话主机中的资源公平共享》这篇文章中,详细解释了远程桌面会话主机中的资源公平共享,所以想了解更多信息,请参阅那篇文章。
图4:远程桌面会话主机-设备和资源重定向
设备和资源重定向――允许音频和视频回放重定向
在Device and Resource Redirection子文件夹里面,拥有定义本地设备是否在远程桌面会话里面可用的所有设置。***个设置涉及允许音频和视频重定向至客户,还是在远程桌面会话主机上播放。微软针对不同的操作系统使用了不同的默认行为。在Windows 2008 R2或更低版本中,默认情况下不允许音频和视频重定向;而在Windows 2012及更高版本中,默认情况下允许重定向。我尽可能会始终将音频和视频回放重定向至客户端。
设备和资源重定向--允许录音重定向
你可以借助该设置,指定录音设备(比如麦克风)是否可以在远程桌面会话里面使用。默认行为同样因操作系统版本的不同而不同,所以那确定你是否需要配置该设置以满足要求。当然,你始终可以定义该设置(及其他设置),以便确信远程桌面会话主机的配置与你希望的设置一样。
设备和资源重定向――限制音频回放质量
设置音频回放质量可以改善慢速连接上的性能。不过,目前微软在使用Dynamic(动态)回放质量:可以根据网络带宽,动态调整音频质量。所以,我偏爱使用该设置;但如果质量总是应该很高(与网络带宽无关),就可以用该设置调整行为。此外有必要知道这一点,选择Disabled(禁用),音频回放质量将是Dynamic(而不是一些人预期的没有音频回放)。
设备和资源重定向――不允许剪贴板重定向
你可以借助该策略,定义是否允许用户通过剪贴板功能,拷贝/剪切和粘贴文本及/或图片。默认情况下它被启用,所以万一不允许客户端与远程桌面会话主机之间共享任何信息,就应该启用该设置,从而禁用剪贴板重定向功能。
设备和资源重定向――不允许驱动器重定向
你可以借助该策略,调整客户端驱动程序重定向至远程桌面会话主机。默认情况下,允许客户端驱动器重定向,但可以用该策略来加以禁用。一些操作系统依赖驱动器重定向,以便允许文件拷贝重定向以及剪贴板重定向,比如Windows 2003,或者使用Windows客户端操作系统作为远程桌面主机。无法使用驱动器重定向来设置U盘重定向,但可以通过即插即用重定向来加以设置。
设备和资源重定向――不允许端口重定向
COM和LPT端口在会话里面也可以重定向。现在,这类端口不再频繁使用,因为之前通过这类设备连接的设备现在改用USB来连接。
设备和资源重定向――不允许支持的即插即用设备重定向
默认情况下,允许即插即用设备重定向,所以只有你想完全禁用即插即用设备的重定向,才应该配置该设置以启用。使用更多的是这个选项?:使用Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions policy settings这个策略,限制即插即用设备的特定类型。
设备和资源重定向――不允许智能卡设备重定向
这跟前面的几个设置很相似;默认情况下允许智能卡设备在远程桌面会话里面重定向;如果需要在远程桌面会话里面禁用智能卡设备,应启用该策略。
设备和资源重定向――允许时区重定向
你可以借助该设置,调整时区重定向行为。你启用该设置后,客户端会将其时区转发到远程桌面会话主机;所以,如果你连接到远程桌面,客户端的本地时间不会显示。默认情况下,时区重定向不会进行,远程桌面会话主机的时间会显示。如果你发行了远程桌面,同时客户端又在不同的时区,才需要配置该设置。
结束语
在这第二篇文章中,我开始介绍可以在远程桌面会话主机上定义的可用策略。由于这个层面上有好多策略,我会在下一篇文章中继续介绍这些策略设置。敬请关注。
