本文档详细介绍了 Active Directory 中直接影响终端服务的所有现有策略. 每个策略及其配置可能性都详细介绍了. 我们将从控制台创建/编辑策略 “组策略管理” 即在 “管理工具”.

在 “设备设置” > “管理模板” > “Windows 组件” > “终端服务” > “远程桌面连接客户端” 我们有以下配置:

– 允许有效的发布者 .rdp 文件和用户的默认 .rdp 设置: 此策略设置允许指定用户是否可以运行 RD 协议文件 (.RDP) 来自使用有效证书对文件进行签名的发布者. 有效证书是由客户认可的实体颁发的证书, 例如证书存储的颁发者Client 的第三方根 CA. 此策略设置还控制用户是否可以使用默认的 .rdp 设置启动 RDP 会话; 例如, 当用户直接打开远程桌面连接客户端时 (DRC) 未指定 .rdp 文件.

是否启用此策略设置, 用户可以运行使用有效证书签名的 .RDP 文件. 用户还可以通过直接打开 RDC 客户端来启动具有默认 .rdp 配置的 RDP 会话. 当用户启动 RDP 会话时, 系统会要求用户确认是否要连接.

如果禁用此策略设置, 用户无法运行使用有效证书签名的 .RDP 文件. 同样, 用户无法通过直接打开 RDC 客户端并指定远程计算机名称来启动 RDP 会话. 当用户尝试启动 RDP 会话时, 用户收到一条消息，指出发布者已被阻止.

– 允许来自未知发布者的 .rdp 文件: 此策略设置允许指定用户是否可以运行 RD 协议文件 (.RDP) 客户端计算机上来自未知发布者的 unsigned 和 .rdp 文件.

是否启用此策略设置, 用户可以在客户端计算机上运行 .RDP 和未签名的文件以及来自未知发布者的 .RDP 文件. 在用户启动 RDP 会话之前, 用户会收到一条警告消息，并要求确认他们是否要连接.

如果禁用此策略设置, 用户无法在客户端计算机上运行来自未知发布者的未签名 .RDP 文件和 .RDP 文件. 如果用户尝试启动 RDP 会话, 用户收到一条消息，指出发布者已被阻止.

– 不允许保存密码: 控制是否可以从终端服务客户端在此计算机上保存密码.

如果启用此选项, 用于在终端服务客户端中保存密码的复选框将被禁用，用户将无法再保存密码. 当用户通过终端服务客户端打开 RDP 文件并保存其配置, RDP 文件中以前存在的所有密码都将被删除.

如果您禁用或未配置此选项, 用户将能够通过终端服务客户端保存密码.

– 指定代表受信任的 .rdp 发布者的证书的 SHA1 指纹: 此策略设置允许指定强哈希算法证书指纹的列表 1 (SHA1 格式) 表示 RD 协议文件发布者 (.RDP) 可靠.

如果启用此策略设置, 任何 SHA1 指纹与列表中的指纹匹配的证书都被视为受信任证书. 如果用户尝试启动由受信任证书签名的 .rdp 文件, 用户在启动文件时未收到警告消息. 获取指纹, 查看证书详细信息，然后单击 Fingerprint 字段.

如果禁用或未配置此策略设置, 任何发布者都不会被视为受信任的 .rdp 发布者.

– 在客户端计算机上请求凭据: 此策略设置确定是否提示用户提供与客户端计算机上的终端服务器的远程连接的凭据.

如果启用此策略设置, 系统将提示用户提供与客户端计算机上的终端服务器的远程连接的凭据, 而不是在终端服务器上. 客户端计算机上是否有可用的用户保存的凭据, 系统不会提示用户提供凭据.

– 为客户端配置服务器身份验证: 通过此策略设置，可以指定当客户端无法对终端服务器进行身份验证时，客户端是否将与终端服务器建立连接。, 您必须指定以下选项之一:

始终连接, 即使存在身份验证错误: 即使客户端无法对终端服务器进行身份验证，客户端也会连接到终端服务器.

如果存在身份验证错误，请通知我: 客户端尝试对终端服务器进行身份验证. 如果您可以验证, 客户与他建立连接. 如果您无法进行身份验证, 系统将提示用户选择是否连接到终端服务器而不对其进行身份验证.

如果存在身份验证错误，则不连接: 仅当终端服务器可以进行身份验证时，客户端才会与终端服务器建立连接.

如果禁用或未配置此策略设置, 在远程桌面连接或 .rdp 文件中指定的身份验证设置确定当客户端无法对其进行身份验证时，客户端是否与终端服务器建立连接.

在 “设备设置” > “管理模板” > “Windows 组件” > “终端服务” > “终端服务器许可证” 我们有以下配置:

– 许可证服务器安全组: 通过此策略设置，可以指定终端服务许可证服务器将向哪些终端服务器提供终端服务客户端访问许可证 (CAL de TS).

可以使用此策略设置来控制终端服务许可证服务器将向哪些终端服务器颁发 TS CAL. 默认情况下, 许可证服务器向请求.

如果启用此策略设置，并且它适用于终端服务许可证服务器, 许可证服务器将仅提供来自终端服务器的 TS CAL 请求，这些终端服务器的计算机帐户是许可证服务器上终端服务器计算机组的成员.

默认情况下, “终端服务器计算机”组为空.

如果禁用或未配置此策略设置, 终端服务许可证服务器向请求. 如果禁用或未设置此策略设置，则不会以任何方式删除或修改“终端服务器计算机”组.

– 阻止许可证更新: 此策略设置允许指定终端服务客户端访问许可证版本 (CAL de TS) 它将向连接到运行其他基于 Windows 的作系统的终端服务器的客户颁发终端服务许可证服务器.

许可证服务器尝试为每个连接提供最合适的 TS CAL. 例如, 具有 Windows Server 的许可证服务器 2008 将尝试颁发 Windows Server TS CAL 2008 对于连接到运行 Windows Server 的终端服务器的客户端 2008, ，并将尝试颁发 Windows Server TS CAL 2003 对于连接到运行 Windows Server 的终端服务器的客户端 2003.

默认情况下, 如果最合适的 TS CAL 不可用于连接, 具有 Windows Server 的许可证服务器 2008 颁发 Windows Server TS CAL 2008, 如果有, 自:

* 连接到 Windows Server Terminate Server 服务器的客户端 2003
* 连接到 Windows 终端服务器的客户端 2000

如果启用此策略设置, 如果终端服务器没有合适的 TS CAL，则许可证服务器只会向客户端颁发临时 TS CAL. 如果已向客户颁发临时 TS CAL 并且已过期, 除非终端服务器的 TS 许可证宽限期未过期，否则客户端将无法连接到终端服务器.

如果禁用或未配置此策略设置, 许可证服务器将采用上述默认行为.

在 “设备设置” > “管理模板” > “Windows 组件” > “终端服务” > “终端服务器” > “TS 会话代理” 我们有以下配置:

– 加入 TS 会话代理: 通过此策略设置，可以指定终端服务器是否应加入 TS 会话代理场. TS 会话代理跟踪用户的会话，并允许用户重新连接到负载平衡的终端服务器场中的现有会话. 参与 TS 会话代理, 必须在服务器上安装终端服务器角色服务.

如果启用了策略设置, 终端服务器加入在 “TS 会话代理场名称”. 场存在于策略设置中指定的 TS 会话代理服务器上 “TS 会话代理服务器”.

如果禁用此策略设置, 服务器未加入 TS 会话代理场，并且不会跟踪用户的会话. 如果, 您将无法使用终端服务配置工具或终端服务 WMI 提供程序将服务器加入 TS 会话代理.

如果未设置政策设置, 未在组策略级别指定该选项. 在这种情况下, 可以使用终端服务配置工具或终端服务 WMI 提供程序将服务器配置为加入 TS 会话代理.

– 配置 TS 会话代理场名称: 此策略设置允许您指定要从 TS 会话代理加入的场的名称. TS 会话代理使用场名称来确定哪些终端服务器位于同一终端服务器场中. 因此, 您必须对同一负载均衡场中的所有终端服务器使用相同的场名称. 场名称不必与 Active Directory 域服务名称对应.

如果您指定新的场名称, 将在 TS 会话代理中创建新场. 如果您指定现有场名称, 服务器加入此 TS 会话代理场.

如果启用此策略设置, 您必须指定 TS 会话代理场的名称.

如果禁用或未配置此策略设置, 组策略不会指定场名称. 在这种情况下, 您可以使用终端服务配置工具或终端服务 WMI 提供程序指定场名称.

– 使用 IP 地址转发: 通过此策略设置，可以指定当客户端设备重新连接到负载均衡的终端服务器场中的现有终端服务会话时要使用的重定向方法. 此选项适用于配置为使用 TS 会话代理的终端服务器, 而不是 TS 会话代理服务器.

如果启用此策略设置, 终端服务客户端向 TS 会话代理发出查询，并使用会话所在的终端服务器的 IP 地址重定向到其现有会话. 使用此重定向方法, 客户端计算机必须能够通过 IP 地址直接连接到场的终端服务器.

如果禁用此策略设置, 终端服务器的 IP 地址未发送到客户端. 相反, IP 地址嵌入在见证人中. 当客户端重新连接到负载均衡时, 路由令牌用于将客户端重定向到服务器场中正确终端服务器上的现有会话. 仅当网络负载平衡解决方案支持使用 TS 会话代理路由令牌，并且您不希望客户端通过 IP 地址直接连接到负载平衡场中的终端服务器时，才禁用此选项.

如果未设置此策略设置, 该选项已使用 “使用 IP 地址转发” 在 Terminal Services Configuration （终端服务配置） 工具. 默认情况下, 终端服务配置工具中的此选项已启用.

– 配置 TS 会话代理服务器名称: 通过此策略设置，可以指定终端服务器用于跟踪用户会话并将其重定向到负载均衡的终端服务器场的 TS 会话代理服务器服务器. 指定的服务器必须运行终端服务会话代理服务. 负载平衡服务器场中的所有终端服务器必须使用相同的 TS 会话代理服务器.

如果启用此策略设置, 必须使用主机名指定 TS 会话代理服务器, IP 地址或完全限定域名. 如果为 TS 会话代理服务器指定了无效的名称或 IP 地址, 将在终端服务器上的事件查看器中记录一条错误消息.

如果禁用或未配置此策略设置, 可以使用终端服务配置工具或终端服务 WMI 提供程序指定 TS 会话代理服务器名称或 IP 地址.

– 使用 TS 会话代理负载均衡: 通过此策略设置，可以指定是否应使用 TS 会话代理的负载平衡功能在终端服务器场中的服务器之间进行负载平衡.

如果启用此策略设置, TS 会话代理会将没有现有会话的用户重定向到服务器场中会话较少的终端服务器. 具有现有会话的用户的重定向行为不会受到影响. 如果服务器配置为使用 TS 会话代理, 具有现有会话的用户将被重定向到其会话所在的终端服务器.

如果禁用此策略设置, 没有现有会话的用户将登录到他们连接到的第一个终端服务器.

如果未设置此策略设置, 您可以使用终端服务配置工具或终端服务 WMI 提供程序将终端服务器配置为参与 TS 会话代理负载平衡.

在 “设备设置” > “管理模板” > “Windows 组件” > “终端服务” > “终端服务器” > “临时文件夹” 我们有以下配置:

– 离开时不要删除临时文件夹: 指定终端服务在注销时是否在每个会话中保留用户的临时文件夹.

您可以使用此选项在远程计算机上保留特定于用户会话的临时文件夹, 即使用户注销. 默认情况下, 终端服务会在用户注销时删除用户的临时文件夹.

如果状态设置为 Enabled, 用户注销时，将保留每个用户会话的临时文件夹.

如果状态设置为 Disabled （禁用）, 用户注销时删除临时文件夹, 即使管理员在终端服务设置工具中指定了其他作.

如果状态设置为 Not configured, 终端服务将在您注销时从远程计算机中删除临时文件夹, 除非服务器管理员指定了其他作.

– 不要在每个会话中使用临时文件夹: 通过此策略设置，可以阻止终端服务创建特定于会话的临时文件夹.

可以使用此策略设置来禁用在远程计算机上为每个会话创建单独的临时文件夹. 默认情况下, 终端服务为用户保留在远程计算机上的每个活动会话创建一个单独的临时文件夹. 这些临时文件夹是在远程计算机上创建的, 在用户配置文件文件夹的 Temp 文件夹中, ，并且它们被分配了名称 “会话 ID”.

如果启用此策略设置, 不会为每个会话创建临时文件夹. 相反, 远程计算机上所有用户会话的临时文件都存储在远程计算机上用户配置文件文件夹中的公共临时文件夹中.

如果此策略设置处于禁用状态, 始终按会话创建临时文件夹, 即使您在终端服务配置工具中另有指定.

如果未配置此策略设置, 始终按会话创建临时文件夹, 除非在终端服务配置工具中另有指定.

在 “设备设置” > “管理模板” > “Windows 组件” > “终端服务” > “终端服务器” > “远程会话环境” 我们有以下配置:

– 自动重新连接: 指定是否允许远程桌面连接客户端在暂时失去网络连接时自动重新连接到终端服务会话. 默认情况下, 以 5 秒为间隔，最多进行 20 次重新连接尝试.

如果状态设置为 Enabled, 每当网络连接丢失时，都会尝试自动重新连接所有运行 Remote Desktop Connection 的客户端.

如果状态设置为 Disabled （禁用）, 禁止自动重新连接客户端.

如果状态设置为 Not configured, 未在组策略级别指定自动重新连接. 然而, 用户可以使用 “如果连接丢失，请重新连接” 在 Remote Desktop Connection Performance（远程桌面连接性能）选项卡上.

– 允许用户使用终端服务进行远程连接: 此策略设置允许使用终端服务配置对计算机的远程访问.

如果启用此策略设置, 作为目标计算机上 Remote Desktop Users 组成员的用户将能够使用终端服务远程连接到目标计算机.

如果禁用此策略设置, 用户将无法使用终端服务远程连接到目标计算机. 目标团队将维护当前连接, 但它不会接受任何新的传入连接.

如果未设置此策略设置, 终端服务使用目标计算机上的“远程桌面”选项来确定是否允许远程连接. 此选项位于 系统属性 的 远程访问 选项卡上. 默认情况下, 不允许远程连接.

– 拒绝注销登录到会话控制台的管理员: 此策略设置确定尝试远程连接到服务器控制台的管理员是否可以注销登录到控制台的管理员.

当已登录的管理员不希望其他管理员注销时，此策略非常有用. 如果连接的管理员已注销, 之前未保存的任何数据都将丢失.

如果启用此策略设置, 无法注销连接的管理员.

如果禁用或未配置此策略设置, 可以注销连接的管理员.

– 配置连接维护消息之间的间隔: 通过此策略设置，可以指定连接维护消息之间的间隔，以确保终端服务器上的会话状态与客户端状态一致.

终端服务器客户端失去与终端服务器的连接后, 该服务器上的会话可以保持活动状态，而不是断开连接, 即使客户端与服务器物理断开连接. 如果客户端再次登录到同一终端服务器, 可以建立新会话 (如果终端服务配置允许多个会话) 并且原始会话可以保持活动状态.

如果启用此策略设置, 您必须指定连接维护消息之间的间隔. 连接保持连接消息之间的间隔决定了频率 (几分钟内) 服务器使用该 API 检查会话的状态. 可以写入的值范围为 1 自 999.999.

如果禁用或未配置此策略设置, 连接维护消息之间不会设置间隔，并且服务器不会检查会话状态.

– 限制连接数: 指定终端服务是否限制与服务器的并发连接数.

您可以使用此选项来限制服务器上可以处于活动状态的远程会话数. 如果超过此数量, 尝试连接的其他用户将收到一条错误消息，指示服务器正忙，以便他们稍后再试. 限制会话数可以提高性能，因为消耗系统资源的会话更少. 默认情况下, 终端服务器允许无限数量的远程会话，而 Remote Desktop for Management 允许两个远程会话.

使用此选项, 键入要指定为服务器最大数量的连接数. 指定无限数量的连接, 抄写员 999999.

如果状态设置为 Enabled, 最大连接数限制为与 Windows 版本和服务器上运行的终端服务模式一致的指定数量.

如果状态设置为 Disabled （已禁用） 或 Not Configured （未配置）, 不会在组策略级别强制实施对连接数的限制.

– 设置远程控制终端服务用户会话的规则: 此策略设置允许指定终端服务会话中允许的远程控制级别.

可以使用此策略设置来选择两个级别的远程控制之一: 查看会话或完全控制. View Session 允许远程控制用户查看会话. 完全控制允许管理员与会话交互. 可以在有或没有用户权限的情况下设置远程控制.

如果启用此策略设置, 管理员可以根据指定的规则与用户的终端服务会话进行远程交互. 建立此类规则, 从 Options 列表中选择所需的控制和权限级别. 禁用远程控制, 选择 “不允许远程控制”.

如果此策略设置处于禁用状态或未配置, 远程控制规则是通过配置终端服务配置工具中的 远程控制 选项卡来确定的. 默认情况下, 远程控制用户具有用户权限对会话的完全控制权.

– 仅允许从原始客户端重新连接: 指定是否允许用户使用与原始客户端计算机不同的计算机重新连接到断开连接的终端服务会话.

可以使用此选项来防止终端服务用户使用与最初创建会话的客户端计算机不同的计算机重新连接到断开连接的会话. 默认情况下, 终端服务允许用户从任何客户端计算机重新连接到断开连接的会话.

如果状态设置为 Enabled, 用户只能从原始客户端计算机重新连接到断开连接的会话. 如果用户尝试从另一台计算机连接到断开连接的会话, 将在其位置创建一个新会话.

如果状态设置为 Disabled （禁用）, 用户将始终能够从任何计算机连接到断开连接的会话.

如果状态设置为 Not configured, 不会在组策略级别指定从原始客户端计算机重新连接会话.

重要: 只有在连接时提供序列号的 Citrix ICA 客户才支持此选项, 如果用户连接到 Windows 客户端，则会忽略该. 同样, 请注意，此选项同时显示在 Computer Configuration 和 User Settings 中. 如果同时设置了两个选项, Computer Configuration （计算机配置） 选项将覆盖另一个.

– 将终端服务用户限制为单个远程会话: 此策略设置允许将用户限制为单个远程终端服务会话.

如果启用此策略设置, 通过终端服务远程登录的用户将被限制为该服务器上的单个会话 (活动或断开连接). 如果用户将会话置于断开连接状态, 将在下次登录时自动重新连接到该会话.

如果禁用此策略设置, 用户将能够使用终端服务建立无限数量的同时远程连接.

如果未配置此策略设置, 终端服务配置工具中的“限制每个用户到一个会话”设置, 确定是否将用户限制为单个远程会话.

– 允许远程启动未列出的程序: 通过此策略设置，可以指定远程用户在启动远程会话时是否可以在终端服务器上启动任何程序，或者他们是否只能启动显示在 RemoteApp Programs （RemoteApp 程序） 列表中的程序.

通过使用 TS RemoteApp Manager 工具创建 RemoteApp 程序列表，可以控制哪些程序可以在终端服务器上远程启动. 默认情况下, RemoteApp Programs （RemoteApp 程序） 列表中的程序只能在用户启动远程会话时启动.

如果启用此策略设置, 远程用户在启动远程会话时将能够在终端服务器上启动任何程序. 例如, 远程用户可以通过使用远程桌面连接客户端指定连接时程序可执行文件的路径来执行此作.

如果禁用或未配置此策略设置, 远程用户在启动远程会话时，将只能启动出现在 TS RemoteApp Manager 的 RemoteApp Programs （RemoteApp 程序） 列表中的程序.

在 “设备设置” > “管理模板” > “Windows 组件” > “终端服务” > “终端服务器” > “牌照” 我们有以下配置:

– 使用指定的终端服务许可证服务器: 此策略设置允许指定终端服务器搜索终端服务许可证服务器的顺序.

如果启用此策略设置, 终端服务器首先尝试查找您指定的许可证服务器. 如果未找到这些, 终端服务器将尝试自动发现许可证服务器.

在自动发现许可证服务器的过程中, 基于 Windows Server 的域中的终端服务器尝试按以下顺序联系许可证服务器:

1. 在终端服务配置工具中指定的许可证服务器
2. 发布到 Active Directory 域服务的许可证服务器
3. 许可证服务器安装在与终端服务器位于同一域中的域控制器上

如果禁用或未配置此策略设置, 终端服务器使用终端服务配置工具中指定的许可证服务器发现模式.

– 隐藏有关影响终端服务器的终端服务器许可问题的通知: 此策略设置确定当存在影响终端服务器的终端服务器许可证问题时，是否在终端服务器上显示通知.

默认情况下, 以本地管理员身份登录后，通知将显示在终端服务器上, 如果终端服务器许可证存在影响终端服务器的问题. 如果适用, 还将显示一条通知，其中包含终端服务器的许可证宽限期到期前剩余的天数.

如果启用此策略设置, 这些通知不会显示在终端服务器上.

如果禁用或未配置此策略设置, 在您以本地管理员身份登录后，这些通知将显示在终端服务器上.

– 设置终端服务许可证模式: 此策略设置允许指定终端服务客户端访问许可证的类型 (CAL de TS) 建立与此终端服务器的连接所需的.

可以使用此策略设置选择两种许可证模式之一: 按用户和设备.

每用户许可证模式要求连接到此终端服务器的每个用户帐户都有一个 TS 每用户 CAL.

“每设备许可证模式”要求连接到此终端服务器的每个设备都具有“TS 每设备 CAL”.

如果启用此策略设置, 您指定的许可证模式优先于在终端服务安装期间或在终端服务配置工具中指定的许可证模式.

如果禁用或未配置此策略设置, 使用在安装终端服务期间或在终端服务配置工具中指定的许可证模式.

在 “设备设置” > “管理模板” > “Windows 组件” > “终端服务” > “终端服务器” > “会话时间限制” 我们有以下配置:

– 设置断开连接的会话的时间限制: 此策略设置允许为断开连接的终端服务会话配置时间限制.

您可以使用这些策略设置来指定断开连接的会话在服务器上保持活动状态的最长时间. 默认情况下, 终端服务允许用户在不注销的情况下断开与远程会话的连接.

会话脱机时, 即使用户不再主动登录，正在运行的程序仍保持活动状态. 默认情况下, 这些断开连接的会话在服务器上无限期地维护.

如果启用此策略设置, 断开连接的会话将在指定时间过后从服务器中删除. 应用使会话无限期脱机的默认行为, 选择 “从不”. 在控制台会话中, 断开连接的会话的时间限制不适用.

如果禁用或未配置此策略设置, 断开连接的会话将无限期地维护. 您可以在 Terminal Services Settings （终端服务设置） 工具的 Sessions （会话） 选项卡上为断开连接的会话指定时间限制.

– 设置活动会话的时间限制, 但在不活动时, 码头服务: 此策略设置允许指定活动终端服务会话可以处于空闲状态的最长时间 (我的意思是, 无需用户干预) 在自动断开连接之前.

如果启用此策略设置, 您必须从 Idle Session Limit （空闲会话限制） 下拉列表中选择所需的时间限制. 终端服务将自动断开在指定时间限制内未使用的活动会话. 用户在会话断开连接前两分钟收到警告, 允许您按某个键或移动鼠标以保持会话处于活动状态. 在控制台会话中, 非活动会话的时间限制不适用.

如果禁用或未配置此策略设置, 终端服务允许您使会话保持活动状态，但无限期地不使用. 可以为活动会话指定时间限制, 但在不活动时, 在 Terminal Services Settings （终端服务设置） 工具的 Sessions （会话） 选项卡上.

如果您希望终止终端服务 (而不是断开连接) 达到时间限制时的会话, 您可以配置“计算机配置管理模板Windows 组件终端服务终端服务器会话时间限制在达到时间限制时结束会话”策略.

– 设置活动终端服务会话的时间限制: 使用此策略设置，可以指定终端服务会话在自动断开连接之前可以处于活动状态的最长时间.

如果启用此策略设置, 您必须从 Active Session Limit 下拉列表中选择所需的时间限制. 终端服务将在指定的超时时间过后自动断开活动会话的连接. 用户在终端服务会话断开连接前两分钟收到警告, 允许您保存打开的文件和关闭程序. 在控制台会话中, 不强制实施活动会话时间限制.

如果禁用或未配置此策略设置, 终端服务允许您无限期地保持会话活动状态. 可以在 Terminal Services Settings （终端服务设置） 工具的 Sessions （会话） 选项卡中指定活动会话的时间限制.

如果您希望终止终端服务 (而不是断开连接) 达到时间限制时的会话, 您可以配置“计算机配置管理模板Windows 组件终端服务终端服务器会话时间限制达到时间限制时结束会话”策略.

– 达到时间限制时的终端会话: 指定是否终止超时的终端服务会话，而不是断开会话.

您可以使用此选项让终端服务终止会话 (我的意思是, 用户会话已关闭，服务器会话已删除) 当达到活动会话或非活动会话的时间限制时. 默认情况下, 终端服务断开达到其时间限制的会话.

时间限制由服务器管理员在本地设置或在组策略中设置. 看 “设置活动终端服务会话的时间限制” 和 “设置活动会话的时间限制, 但在不活动时, 码头服务”.

如果状态设置为 Enabled, 终端服务终止达到超时限制的任何会话.

如果状态设置为 Disabled （禁用）, 终端服务始终断开已超时的会话, 即使 Server 管理员指定了其他作.

如果状态设置为 Not configured, 终端服务断开已超时的会话, 除非本地设置指定了其他作.

– 设置注销 RemoreApp 的时间限制: 通过此策略设置，可以指定用户的 RemoteApp 会话在从终端服务器关闭之前将保持脱机状态的时间.

默认情况下, 如果用户关闭 RemoteApp 程序, 会话与终端服务器断开连接.

如果启用此策略设置, 当用户关闭 RemoteApp 程序时, RemoteApp 会话将保持断开连接状态，直到达到指定的时间限制. 达到指定时间限制时, RemoteApp 会话已从终端服务器关闭. 如果用户在达到时间限制之前启动 RemoteApp 程序, 重新连接到终端服务器上断开连接的会话.

如果禁用或未配置此策略设置, 当用户关闭 RemoteApp 程序时, 会话与终端服务器断开连接.

在 “设备设置” > “管理模板” > “Windows 组件” > “终端服务” > “终端服务器” > “配置 文件” 我们有以下配置:

– 设置 TS 用户主目录: 指定终端服务是使用指定的网络共享还是本地目录路径作为终端服务会话的用户主目录的根目录.

使用此选项, 选择主目录的位置 (网络或本地) 从 位置 下拉列表. 如果选择将目录放在网络共享上, 将主目录的根路径输入为 TeamNameShareResource Name，并将, 后, 选择要将网络共享映射到的驱动器盘符.

如果您选择将主目录保留在本地计算机上, 将主目录的根路径键入为 “单位:路径” (无引号), 没有环境变量或省略号. 不要为用户别名指定占位符, 因为终端服务在登录期间会自动附加它.

– 在终端服务器上使用必需的配置文件: 通过此策略设置，可以指定终端服务是否为远程连接到终端服务器的所有用户使用所需的配置文件.

如果启用此策略设置, 终端服务使用策略设置中指定的路径 “设置 TS 漫游用户配置文件路径” 作为所需用户配置文件的根文件夹. 远程连接到终端服务器的所有用户都使用相同的用户配置文件.

如果禁用或未配置此策略设置, 远程连接到终端服务器的用户不使用所需的用户配置文件.

– 设置 TS Mobile 用户配置文件路径: 此策略设置允许指定终端服务用于漫游用户配置文件的网络路径.

默认情况下, 终端服务将所有用户配置文件本地存储在终端服务器上. 可以使用此策略设置来指定可以集中存储用户配置文件的网络共享, 这将允许用户访问配置为对用户配置文件使用网络共享的所有终端服务器上的会话的相同配置文件.

如果启用此策略设置, 终端服务将使用指定的路径作为所有用户配置文件的根目录. 配置文件保存在带有每个用户帐户名称的子文件夹中.

设置此策略设置, 以 computerNameShareName 格式输入网络共享的路径. 不要为用户帐户名称指定占位符, 因为终端服务会在用户登录并创建配置文件时自动添加它. 如果指定的网络共享不存在, 终端服务在终端服务器上显示错误消息，并将用户配置文件本地存储在终端服务器上.

如果禁用或未配置此策略设置, 用户配置文件本地存储在终端服务器上. 您可以在 User Account Properties 对话框的 Terminal Services Profile 选项卡上配置用户配置文件的路径.

在 “设备设置” > “管理模板” > “Windows 组件” > “终端服务” > “终端服务器” > “设备或资源重定向” 我们有以下配置:

– 允许音频重定向: 指定用户是否可以选择在终端服务会话期间播放远程计算机的音频输出的位置 (音频重定向).

用户可以使用 “远程计算机声音” 在 Remote Desktop Connection 的本地资源选项卡上，选择是在远程计算机上播放远程音频还是在本地计算机上播放远程音频. 用户还可以禁用音频.

默认情况下, 使用终端服务连接到运行 Windows Server 的服务器时，用户无法应用音频重定向 2003. 默认情况下，连接到运行 Windows XP Professional 的计算机的用户可以应用音频重定向.

如果状态设置为 Enabled, 用户将能够应用音频重定向.

如果状态设置为 Disabled （禁用）, 用户将无法应用音频重定向.

如果状态设置为 Not configured, 不会在组策略级别指定音频重定向. 然而, 管理员仍可使用终端服务配置工具启用或禁用音频重定向.

– 不允许剪贴板重定向: 指定是否阻止共享剪贴板内容 (剪贴板重定向) 终端服务会话期间，在远程计算机和客户端计算机之间.

您可以使用此选项来阻止用户在远程计算机和本地计算机之间重定向剪贴板信息. 默认情况下, 终端服务允许剪贴板重定向.

如果状态设置为 Enabled, 用户将无法重定向剪贴板中的信息.

如果状态设置为 Disabled （禁用）, 终端服务将始终允许剪贴板重定向.

如果状态设置为 Not configured, 不会在组策略级别指定剪贴板重定向. 然而, 管理员仍可使用终端服务配置工具禁用剪贴板重定向.

– 不允许 COM 端口转发: 指定是否阻止在终端服务会话中将数据从远程计算机重定向到客户端 COM 端口.

您可以使用此选项来防止用户在维护终端服务会话时将数据重定向到 COM 端口外围设备或分配本地 COM 端口. 默认情况下, 终端服务允许此 COM 端口转发.

如果状态设置为 Enabled, 用户无法将数据从服务器重定向到本地 COM 端口.

如果状态设置为 Disabled （禁用）, 终端服务始终允许 COM 端口转发.

如果状态设置为 Not configured, 不会在组策略级别指定 COM 端口转发. 然而, 管理员仍可使用终端服务配置工具禁用 COM 端口转发.

– 不允许驱动器重定向: 指定是否阻止在终端服务会话中分配客户端驱动器 (驱动器重定向).

默认情况下, 终端服务会在您连接时自动分配客户端单元. 映射的驱动器显示在 Windows 资源管理器的会话文件夹树中，或显示在 My Computer 中，格式为 <字母统一> 在 <团队名称>. 您可以使用此选项覆盖此行为.

如果状态设置为 Enabled, 终端服务会话中不允许客户端单元重定向.

如果状态设置为 Disabled （禁用）, 始终允许客户单位重定向.

如果状态设置为 Not configured, 不会在组策略级别指定客户端驱动器重定向. 然而, 管理员仍可使用终端服务配置工具禁用客户端驱动器重定向.

– 不允许 LPT 端口转发: 指定在终端服务会话期间是否阻止将数据重定向到客户端 LPT 端口.

您可以使用此选项来阻止用户分配本地 LPT 端口并将数据从远程计算机重定向到本地 LPT 端口外围设备. 默认情况下, 终端服务允许此 LPT 端口转发.

如果状态设置为 Enabled, 终端服务会话中的用户无法将数据从服务器重定向到本地 LPT 端口.

如果状态设置为 Disabled （禁用）, 将始终允许 LPT 端口转发.

如果状态设置为 Not configured, 不会在组策略级别指定 LPT 端口转发. 然而, 管理员仍可使用终端服务配置工具禁用 LPT 本地端口转发.

– 不允许兼容的 Plug and Play 设备重定向: 使用此策略设置，可以控制支持的即插即用设备的重定向, 例如 Windows 便携式设备, 到终端服务会话中的远程计算机.

默认情况下, 终端服务允许重定向兼容的即插即用设备. 用户可以使用 “更多” 在远程桌面连接的本地资源选项卡上，选择重定向到远程计算机的受支持的即插即用设备.

如果启用此策略设置, 用户无法将其兼容的即插即用设备重定向到远程计算机.

如果此策略设置处于禁用状态或未配置, 用户可以将其兼容的 Plug and Play 设备重定向到远程计算机.

– 不允许重定向智能卡设备: 此策略设置允许在终端服务会话中控制智能卡设备的重定向.

如果启用此策略设置, 终端服务用户将无法使用智能卡登录终端服务.

如果禁用或未设置此策略设置, 将允许重定向智能卡设备. 默认情况下, 终端服务在连接期间自动重定向智能卡设备.

– 允许时区重定向: 此策略设置确定客户端计算机是否将其时区设置重定向到终端服务会话.

如果启用此策略设置, 能够重定向其时区的客户端会将该信息发送到服务器. 服务器的基准时间将用于计算当前会话的时间 (当前会话时间 = 服务器基准时间 + 客户时区).

如果禁用或未配置此策略设置, 客户端计算机不会重定向其时区信息，并且会话时区将与服务器的时区匹配.

在 “设备设置” > “管理模板” > “Windows 组件” > “终端服务” > “终端服务器” > “打印机重定向” 我们有以下配置:

– 不要在会话中将默认客户端打印机设置为默认打印机: 此策略设置允许指定是否在终端服务会话中自动将默认客户端打印机配置为默认打印机.

默认情况下, 终端服务会自动将默认客户端打印机指定为终端服务会话的默认打印机. 您可以使用此选项覆盖此行为.

如果启用此策略设置, 默认打印机将是远程计算机上指定的打印机.

如果禁用此策略设置, 终端服务器将自动分配默认客户端打印机，并在您连接时将其设置为默认打印机.

如果未设置此策略设置, 不会在组策略级别指定默认打印机. 然而, 管理员可以使用终端服务配置工具为客户端会话配置默认打印机.

– 不允许客户端打印机重定向: 此策略设置允许指定是否阻止在终端服务会话中分配客户端打印机.

可以使用此策略设置来阻止用户将打印作业从远程计算机重定向到连接到本地计算机的打印机 (客户). 默认情况下, 终端服务允许此客户端打印机映射.

如果启用此策略设置, 用户无法在终端服务会话中将打印作业从远程计算机重定向到本地客户端打印机.

如果禁用此策略设置, 用户可以使用客户端打印机映射重定向打印作业.

如果未设置此策略设置, 不会在组策略级别指定客户端打印机分配. 然而, 管理员仍可使用终端服务配置工具禁用客户端打印机分配.

– 指定终端服务器回退打印机驱动程序行为: 此策略设置允许指定终端服务器回退打印机驱动程序的行为.

默认情况下, 终端服务器回滚打印机驱动程序已禁用. 如果终端服务器没有与客户端打印机匹配的打印机驱动程序, 没有打印机可用于终端服务器会话.

如果启用此策略设置, 回滚打印机驱动程序也已启用，终端服务器的默认行为将是搜索合适的打印机驱动程序. 如果您找不到任何, 客户的打印机将不可用. 您可以选择更改此默认行为. 可用选项包括:

“如果你们都不在，则什么都不做”: 如果没有打印机驱动程序匹配, 服务器将尝试找到合适的驱动程序. 如果您找不到任何, 客户的打印机将不可用. 这是默认行为.

“如果未找到 PCL，请使用 PCL”: 如果找不到合适的打印机驱动程序, 将使用 Printer Control Language 回程打印机驱动程序 (PCL) 作为默认值.

“如果未找到，请使用 PS”: 如果找不到合适的打印机驱动程序, 将使用 PostScript BackTrack 打印机驱动程序 (附言) 作为默认值.

“如果未找到 PCL 和 PS，则显示 PCL 和 PS”: 如果找不到合适的驱动程序, 将显示基于 PS 和 PCL 的回程打印机驱动程序.

如果禁用此策略设置, 终端服务器回退处理程序也被禁用，终端服务器不会尝试使用它.

如果未设置此政策设置, 默认情况下，回滚打印机驱动程序行为处于禁用状态.

– 首先使用终端服务 Easy Print 打印机驱动程序: 通过此策略设置，可以指定是否首先使用终端服务 Easy Print 打印机驱动程序在客户端上安装所有打印机.

是否启用此策略设置, 终端服务器将首先尝试使用终端服务 Easy Print 打印机驱动程序在客户端上安装所有打印机. 是的, 出于某种原因, 无法使用终端服务 Easy Print 打印机驱动程序, 打印机驱动程序将在与客户端打印机匹配的终端服务器上使用. 如果终端服务器没有与客户端打印机匹配的打印机驱动程序, 它不适用于终端服务会话.

如果禁用此策略设置, 终端服务器将尝试找到合适的打印机驱动程序来安装客户端打印机. 如果终端服务器没有与客户端打印机匹配的打印机驱动程序, 服务器将尝试使用终端服务 Easy Print 打印机驱动程序来安装客户端打印机. 是的, 出于某种原因, 无法使用终端服务 Easy Print 打印机驱动程序, 客户的打印机将不可用于终端服务会话.

– 仅重定向客户端的默认打印机: 通过此策略设置，可以指定在终端服务会话中重定向的唯一打印机是否为客户端的默认打印机.

如果启用此策略设置, 在终端服务会话中，将仅重定向客户端的默认打印机.

如果禁用或未配置此策略设置, 所有客户打印机都将在终端服务会话中重定向.

在 “设备设置” > “管理模板” > “Windows 组件” > “终端服务” > “终端服务器” > “安全” 我们有以下配置:

– 服务器身份验证证书模板: 此策略设置允许指定证书模板的名称，该模板确定自动选择哪个证书来对终端服务器进行身份验证.

使用 SSL 时，需要证书才能对终端服务器进行身份验证 (TLS 1.0) 在 RDP 连接期间保护客户端和终端服务器之间的通信.

如果启用此策略设置, 必须指定证书模板名称. 当自动选择证书以对终端服务器进行身份验证时, 仅考虑使用指定证书模板创建的证书. 仅当尚未选择特定证书时，才会自动选择证书.

如果未找到使用指定证书模板创建的证书, 终端服务器将发出证书注册请求并使用当前证书，直到请求完成. 如果找到使用指定证书模板创建的多个证书, 将选择到期日期较晚且与终端服务器的当前名称匹配的证书.

如果此策略设置处于禁用状态或未配置, 默认情况下，将使用自签名证书对终端服务器进行身份验证. 可以在终端服务设置工具的 常规 选项卡上选择用于验证终端服务器的特定证书.

– 设置客户端连接加密级别: 指定在 RD 协议连接期间是否需要特定级别的加密来保护终端服务器和客户端之间的通信 (RDP).

如果启用此选项, 在远程连接期间，客户端和终端服务器之间的所有通信都必须使用此处指定的加密方法. 默认情况下, 加密级别设置为 High. 可用的加密方法包括:

* 高: High （高） 选项使用高确定性加密对 128 位. 在仅包含 128 位 (例如, 运行 Remote Desktop Connection 的客户端). 不支持此级别加密的客户端将无法连接到终端服务器.

* 支持的客户端: 支持的客户端选项使用客户端支持的最大密钥安全性对客户端和服务器之间发送的数据进行加密. 在包含不支持加密的客户端的环境中使用此级别的加密 128 位.

* 低: Low 选项仅使用 56 位.

如果您禁用或未配置此选项, 组策略不会强制执行用于远程连接到终端服务器的加密级别. 然而, 您可以使用终端服务设置来配置这些连接所需的加密级别.

重要:
FIPS 支持可以使用 “系统加密: 使用符合 FIPS 的算法进行加密, 签名和哈希作” 在组策略中 (在 计算机配置Windows 设置安全设置本地策略安全选项) 或通过 “符合 FIPS 标准” 在 Terminal Server Settings. 符合 FIPS 标准使用联邦信息处理标准加密算法对客户端和服务器之间发送的数据进行加密和解密 (FIPS) 140-1, 使用 Microsoft 加密模块. 当客户端和终端服务器之间的通信需要最高级别的加密时，请使用此级别的加密. 如果已通过组策略设置启用了 FIPS 合规性 “系统加密: 使用符合 FIPS 的算法进行加密, 签名和哈希作”, 此选项将覆盖在此组策略设置或终端服务设置中指定的加密级别.

– 连接时始终询问密码: 指定终端服务在连接时是否始终提示客户端输入密码.

可以使用此选项要求连接到终端服务的用户需要密码, 即使他们已在远程桌面连接客户端中提供了密码.

默认情况下, 终端服务允许用户通过在远程桌面连接客户端中输入密码来自动登录.

如果状态设置为 Enabled, 用户在远程桌面连接客户端中输入密码时，将无法自动登录到终端服务. 他们将被要求输入密码以登录.

如果状态设置为 Disabled （禁用）, 用户将始终能够通过在远程桌面连接客户端中输入密码来自动登录到终端服务.

如果状态设置为 Not configured, 不会在组策略级别指定自动登录. 不过, 管理员仍将能够使用终端服务配置工具应用密码提示.

– 需要安全的 RPC 通信: 指定终端服务器是需要与所有客户端进行安全的 RPC 通信，还是允许不安全的通信.

您可以使用此选项通过仅允许经过身份验证和加密的请求来增强 RPC 与客户端通信的安全性.

如果状态设置为 Enabled, 终端服务器接受来自支持安全请求的 RPC 客户端的请求，并且不允许与不受信任的客户端进行不安全的通信.

如果状态设置为 Disabled （禁用）, 终端服务器始终请求所有 RPC 流量的安全性. 然而, 允许不响应请求的 RPC 客户端进行非安全通信.

如果状态设置为 Not configured, 允许不安全的通信.

– 要求对远程连接使用特定的安全级别 (RDP): 指定在 RD 协议连接期间是否需要特定的安全级别来保护终端服务器客户端和服务器之间的通信 (RDP).

如果启用此选项, 在远程连接期间，客户端和终端服务器之间的所有通信都必须使用此处指定的安全方法. 可用的安全方法包括:

* 谈判: Negotiate 方法应用客户端支持的最安全方法. 如果版本受支持 1.0 传输层安全性 (TLS), 用于对终端服务器进行身份验证. 如果不支持 TLS, 使用远程桌面协议加密 (RDP) 保护通信, 但终端服务器未进行身份验证.

* RDP: RDP 方法使用本机 RDP 加密来保护客户端和终端服务器之间的通信. 如果选择此选项, 终端服务器未进行身份验证.

* SSL认证 (TLS 1.0): SSL 方法需要使用 TLS 1.0 对终端服务器进行身份验证. 如果不支持 TLS, 连接未建立令人满意.

如果您禁用或未配置此选项, 组策略不会强制实施将用于远程连接到终端服务器的安全方法. 然而, 您可以使用终端服务配置为这些连接配置所需的安全方法.

– 不允许本地管理员自定义权限: 指定是否禁用管理员权限以在“终端服务设置”工具中自定义安全权限.

您可以使用这些设置来防止管理员更改终端服务设置工具的 Permissions 选项卡上的用户组. 默认情况下, 管理员可以进行此类更改.

如果状态设置为 Enabled, “终端服务设置”工具的“权限”选项卡不能用于自定义每个连接的安全描述符，也不能用于更改现有组的默认安全描述符. 所有安全描述符都是只读的.

如果状态设置为 Disabled （已禁用） 或 Not Configured （未配置）, 服务器管理员对终端服务配置工具的 Permissions 选项卡上的安全描述符具有完全读/写权限.

– 要求使用网络级身份验证对远程连接进行用户身份验证: 通过此策略设置，可以指定使用网络级别身份验证与终端服务器进行远程连接是否需要用户身份验证. 此策略设置提高了安全性, 因为它要求在远程连接过程的早期进行用户身份验证.

如果启用此策略设置, 只有支持网络级身份验证的客户端计算机才能连接到终端服务器.

确定客户端计算机是否支持网络级身份验证, 在客户端计算机上启动远程桌面连接, 单击 Remote Desktop Connection 对话框左上角的图标，然后单击 About. 在 About Remote Desktop Connection （关于远程桌面连接） 对话框中, 查找短语 “支持网络级身份验证”.

如果禁用或未配置此策略设置, 在允许远程连接到终端服务器之前，用户身份验证不需要网络级身份验证.

您可以使用终端服务设置或系统属性中的远程访问选项卡来指定用户身份验证需要网络级身份验证.

重要: 如果此政策设置处于停用状态或未设置，则, 安全将受到影响, 因为用户身份验证将在远程连接过程的后面进行.

www.bujarra.com – 赫克托·埃雷罗 – NH*****@bu*****.c噢 – v 1.0