灵活定制终端服务器 加强有效管理.doc

灵活定制终端服务器 加强有效管理作者：甘肃老五出处：IT专家网2008-07-17 10:29随着大家终端服务器在IT管理中的应用越来越广泛，也遇到越来越多的问题。另外，基于某些特殊的应用需求，需要对终端服务器进行灵活的定制，以适应我们的需要。#tt_authenticity_url#【IT专家网独家】为了有效管理每个远程终端的资源，并让终端用户能使用服务器上的各种合法资源，有不少的企业部署了基于Windows Server 2003的终端服务器。随着大家终端服务器在IT管理中的应用越来越广泛，也遇到越来越多的问题。另外，基于某些特殊的应用需求，需要对终端服务器进行灵活的定制，以适应我们的需要。下面笔者列举比较典型的三个方面进行定制，让其更好地为我们服务。1、终端服务器限制用户账户登录部署终端服务器后，出于安全考虑我们不希望某些用户进行远程登录到终端服务器。Server 2003平台的终端服务器默认情况下一个用户可以在两个客户端进行远程登录。在某些特殊的情况下，我们只希望某个帐户只能进行一个远程登录。以上的两个应用需求是很多管理员遇到并且比较困惑的。下面笔者分别叙述其实现方法。(1).限制某些用户登录终端服务器，这在Server 2003上是非常容易实现的。在通常情况下，我们的终端服务使用的都是远程桌面模式，客户端通过远程桌面登录到终端服务器。因此我们可以从远程桌面入手进行用户登录的限制，只给一些用户登录权限，对应的其他用户也就没有权限了。右击“我的电脑”选择“属性”打开“系统属性”窗口，点击“远程”选项卡，在“远程桌面”下勾选“启用这台计算机上的远程桌面”，开启远程桌面。然后点击“选择远程用户”按钮，然后点击“添加”按钮根据事先指定的策略添加自己授权的可以进行远程桌面连接的用户。比如我们授权lw用户，只需在“输入对象名称来选择”下输入即可，当然也可以点击“高级”按钮，通过“立即查找”功能添加系统中存在的用户。(图1)图1默认情况下，administrator用户拥有登录权限的，有时我们为了安全防止攻击者尝试用其登录登录终端服务器。那如何禁止administrator远程登录终端服务器呢?最极端的方式是禁用administrator用户，在命令提示符下输入命令:net user administrator /active:no即可。还有可以通过组策略为administrator改名(计算机配置Windows设置安全设置本地策略安全选项帐户：重命名系统管理员)。笔者推荐的做法是通过组策略取消administrator登录终端服务器的权限，其组策略位置是：计算机配置Windows设置安全设置本地策略用户权限分配，双击“通过终端服务允许登录”，选择administrators用户，点击删除，然后添加许可的用户即可。这样，当别人恶意尝试登录终端服务器的时候会弹出如图的警告，拒绝登录。(图2)图2(2).要实现一个用户只能进行一次终端登录，我们可以通过对终端服务器的设置来实现，操作步骤是：点击“开始”，依次定位到“控制面板管理工具终端服务配置”，单击“服务器设置”在详细信息窗格中，右键单击“限制每个用户使用一个会话”，然后单击“属性”。勾选“限制每个用户使用一个会话”复选框，然后单击“确定”即可。(图3)图3 2、终端服务器超出最大允许连接数通常情况下，企业中有多个管理员，他们都有权限可以登录到终端服务器。默认情况下，administrator的远程桌面连接数2个。如果此时正好有两个管理员远程桌面连接到终端服务器，那么第三个管理员就不能登陆，会提示“终端服务器超出了最大允许连接数”，无法进行登录。(图4)图4另外，某些管理员远程登录结束后不是按照常规做法从终端服务器中注销用户，而是直接端口连接。这样的话，虽然远程用户已经断开了与终端服务器的远程桌面连接，但是session(会话)还停留在服务器端，也会有上面的提示造成无法登录。对于这一问题就笔者所知有四种解决办法：(1).本地登录(控制台登录)到终端服务器，远程登录的用户会自动被注销。如果还有用户没有注销，可以在打开“任务管理器”，点击“用户”标签然后选择远程登的用户点击右键选择“注销”即可。(图5)图5(2).如果终端服务器开启了telnet服务，我们可以telnet到终端服务器，然后通过命令注销(踢出)用户。首先输入命令“query user”查看当前的登录，然后选择相应的用户通过命令logoff ID来注销该用户。其中ID是系统分配给用户的标识，它是唯一的。比如我们输入logoff 2，就注销了ID为2的用户的远程登录，那么其他用户就可以登录了。(图6)图6(3).限制已经断开连接的session存在的时间，当超过时间后会自动进行注销，其原理是修改终端服务器配置来实现的。操作步骤是：第一步：点击“开始”，依次定位到“控制面板管理工具终端服务配置”，在“终端服务配置”窗口，点击左侧的“连接”然后双击窗格右侧的“RDP-Tcp”打开其属性设置对话框。(图7)图7第二步：点击“会话”标签，勾选“替代用户设置”激活下面的选项，然后在“结束已断开的会话”后面的下拉列表中选择一个时间，比如我们选择30分钟。这样当断开连接30分钟内没有再次连接的话，系统就会技术这个session(会话)。(图8)图8第三步：点击“网卡”标签，修改“最多连接数”，默认是2，大家可以根据自己的需要进行修改。不过，数字不宜过大，否则会占用终端服务器的系统资源。(4).上面的三个方法可以解决问题，但笔者认为最彻底的解决方案是增加终端服务器的连接数，我们通过组策略来实现，操作步骤是：第一步：点击“开始运行”，输入gpedit.msc打开组策略编辑器，依次展开“计算机配置管理模板Windows 组件终端服务”，双击右边的“限制连接数量”，点选“已启用”，在“TS 允许的最大连接数”后面根据自己的需要输入一个连接数。第二步：点击左侧的“会话”，然后双击右侧的“为断开的会话设置时间限制”，点选“已启用”，在“结束断开连接的会话”后的下拉列表中选择一个时间，比如我们选择“30分钟”。(图9)图9 3、破解Win2003终端服务许可证用windows server 2003做服务器的人都知道其安全性能比以前的windows版本高出很多，但是也带来很多麻烦，其中终端授权就是一例。在Server 2003中服务器最重要的远程管理“终端服务”居然要求授权，要许可证，否则120天过期需要购买授权。这是让管理员们非常郁闷的事情，其实这个问题可以得到很好的解决。我们通过如下的操作即可解除该认证限制。在Server 2003上首先开启终端服务，然后依次执行“控制面板添加删除程序添加/删除windows组件”，在“Windows组件向导”窗口的“组件”下取消对“终端服务器”和“终端服务器授权”的勾选，然后点击“下一步”删除这两个系统组件。在删除完成后，系统会提示会提示我们重新启动计算机，这时候千万不要重启一定要点“否”，否则我们的操作就前功尽弃了。(图10)图10然后点击右键点击“我的电脑”选择“属性”，依次点击定位到“远程远程桌面” ，勾选“启用这台计算机上的远程桌面”，之后会得到提示，不用理它点击“确定”应用即可。现在，重新启