全方位細述微軟 RDS 策略:用戶設置
譯文【51CTO精選譯文】在本文中,作者探討了計算機配置層面上遠程桌面會話主機的可用設置。如果你想閱讀該文章系列的***個部分,請參閱《全方位細述微軟RDS策略:計算機配置》。
引文
在文章系列的***個部分中,我們開始介紹了如何配置RDS設置,策略總是具有主導地位。我們繼續介紹了在計算機配置和用戶配置里面的可用策略位置。我們先介紹了計算機配置里面的可用策略設置,它們應該適用于RDS許可證服務器和RDS客戶端。在這第二個部分中,我們將探討計算機配置層面上遠程桌面會話主機的可用設置。
計算機配置策略的設置
遠程桌面會話主機
就遠程桌面會話(遠程桌面會話主機)而言,策略分別位于幾個子文件夾,如下圖所示。
圖1:遠程桌面會話主機策略概圖
應用程序兼容性--關閉Windows安裝工具RDS兼容性
圖2:遠程桌面會話主機――應用程序兼容性
你可以借助該設置,改變遠程桌面會話主機上的Windows安裝工具行為。默認情況下,RDS兼容性被啟用,因而可以讓每個用戶運行Windows安裝工具功能。如果你啟用該設置(導致禁用Windows安裝工具RDS兼容性),單單一個msisexec進程的所有請求都排隊等候。我個人覺得沒有理由要禁用這項功能。 Application Compatibility - Turn on Remote Desktop IP virtualization(應用程序兼容性――開啟遠程桌面IP虛擬化)
一些應用程序需要唯一的IP地址;如果應用程序在遠程桌面會話主機上運行,一些應用程序需要唯一的IP地址,而默認情況下從邏輯上來講事實并非如此。為了解決這個問題,微軟引入了遠程桌面IP虛擬化(Remote Desktop IP Virtualization)。你可以借助該設置,啟用IP虛擬化功能。啟用該設置時,你需要指定針對會話還是針對程序提供虛擬IP。如果針對程序提供虛擬IP,就要定義IP地址應根據哪個可執行文件來配置。桌面IP虛擬化還需要配置下一個設置。
應用程序兼容性――選擇用于遠程桌面IP虛擬化的網絡適配器
如果你需要使用遠程桌面IP虛擬化,就必須配置該設置。你需要指定用于該功能的網卡的IP地址。除了IP地址外,你還要指定使用斜線記法的網絡掩碼,比如192.168.77.201/24。
應用程序兼容性――沒有虛擬IP地址時,不使用遠程桌面會話主機服務器IP地址
沒有虛擬IP地址可用時,默認情況下,會話將使用遠程桌面會話主機的IP地址(就好像你沒有啟用遠程桌面IP虛擬化)。如果你不想這樣,就應該啟用該設置,但要牢記:會話根本沒有網絡連接性。所以啟用該設置時務必要小心,它完全用于實際的特定使用場合。
圖3:遠程桌面會話主機――連接
連接――自動重新連接
你可以借助該設置控制自動重新連接行為。默認情況下,它已被啟用。將該設置設為禁用后,自動重新連接被禁用。你通常沒必要配置該設置,因為默認情況下,自動重新連接已被啟用。
連接――允許用戶通過使用遠程桌面服務,實現遠程連接
雖然它是一個遠程桌面會話主機策略,但我只在非遠程桌面會話主機服務器上使用該策略,因為在RDS會話主機角色安裝后,允許用戶使用RDS來進行連接。不過,該設置對沒有安裝RDS,但是想為管理員啟用RDP訪問的服務器來說很有用。啟用該策略,讓系統屬性Remote Tab(遠程選項卡)上配置的Remote Access(遠程訪問)已勾選。
連接――拒絕已登錄到控制臺的管理員注銷
該設置只適用于XP和Windows 2003,所以它實際上過時了。另一個管理員通過RDP客戶端連接到控制臺時,該設置可阻止已連接到控制臺的管理員注銷。
連接--配置保持活動連接的間隔
你可以借助該設置,配置服務器多久檢查會話狀態,以分鐘為單位。如果你不配置該設置,會話狀態就不受到檢查。超過間隔后,服務器會檢查被列為已連接的會話是不是實際上仍在與服務器通信。
連接--限制連接數量
默認情況下,遠程桌面會話主機對可以在遠程桌面會話主機上建立的會話數量沒有限制。該策略啟用后,你可以定義在遠程桌面會話主機上所能建立的最多會話數量。
會話――暫停用戶登錄,以完成應用程序注冊
這是針對***操作系統的新策略。默認情況下,只要系統啟動,就可以建立RDS會話,同時在后臺注冊應用程序。一些應用程序只有應用程序注冊全部完成后才能運行。啟用該策略將會帶來這個事實:服務器要等6分鐘,之后才可以建立RDS會話。它還用于需要定制開始菜單的這種場合。另一種場合就是,提供一個自動化的小維護窗口,用于清理服務器。
連接--為遠程控制遠程桌面服務設定規則
你可以借助該策略,定義是否允許遠程控制(又叫shadowing)、通過哪種方法來遠程控制(全面控制或查看會話等)。由于這個策略用于遠程控制,它并不適用于Window Server 2012,因為只有遠程援助(Remote Assistance)可用。然而,策略并不將Windows Server 2012 R2列作可適用,不過微軟在該版本中重新引入了遠程控制機制。(所以我預計該設置同樣適用于R2,但沒有進行過測試。)
連接――選擇服務器上的網絡檢測
你可以借助該策略,改變遠程桌面連接主機根據初始連接(連接時段檢測)和會話期間(持續網絡檢測),確定網絡質量的方式。你可以禁用其中一個,也可以兩個都禁用。禁用連接時段檢測將引起會話總是連接(基于低速連接),而禁用持續網絡檢測確保:即使網絡質量在會話期間有所變化,也無法調整會話。該策略只適用于***版本的操作系統;在我看來,它應該只在特定的使用場合下加以調整。
連接――選擇RDP傳輸協議
遠程桌面客戶端設備里面也有一個類似的設置。不過,該策略基于主機,而不是基于客戶端。就跟客戶端設置一樣,你可以配置是不是想同時使用UDP和TCP,還是只想使用UDP或只想使用TCP。
連接--將遠程桌面服務用戶限制在單單一個遠程桌面服務會話
你可以借助該策略,限制用戶在服務器上只有一個會話,不然用戶可能會有多個會話。當會話處于斷開狀態時,用戶將自動被重定向至這個斷開的會話。這種行為還可能是RDS管理控制臺里面的集合層面所特有的。
連接――允許遠程啟動未列出的程序
默認情況下,用戶只能啟動被定義為RemoteApps(不發行遠程桌面時)的程序。在特定的場合下,你可能想改變這種行為(但這種情況下你為何要將那個程序發行為RemoteApp?)。你可以啟用"Allow remote start of unlisted programs "(允許遠程啟動未列出的程序)這個策略。該設置被啟用后,可以啟動遠程桌面會話主機上的任何可用程序。
連接--關閉公平共享CPU調度
默認情況下,微軟啟用了Fair Share CPU Scheduling(公平共享CPU調度)。你可以借助該策略設置,關閉這項功能。在我所寫的《遠程桌面會話主機中的資源公平共享》這篇文章中,詳細解釋了遠程桌面會話主機中的資源公平共享,所以想了解更多信息,請參閱那篇文章。
圖4:遠程桌面會話主機-設備和資源重定向
設備和資源重定向――允許音頻和視頻回放重定向
在Device and Resource Redirection子文件夾里面,擁有定義本地設備是否在遠程桌面會話里面可用的所有設置。***個設置涉及允許音頻和視頻重定向至客戶,還是在遠程桌面會話主機上播放。微軟針對不同的操作系統使用了不同的默認行為。在Windows 2008 R2或更低版本中,默認情況下不允許音頻和視頻重定向;而在Windows 2012及更高版本中,默認情況下允許重定向。我盡可能會始終將音頻和視頻回放重定向至客戶端。
設備和資源重定向--允許錄音重定向
你可以借助該設置,指定錄音設備(比如麥克風)是否可以在遠程桌面會話里面使用。默認行為同樣因操作系統版本的不同而不同,所以那確定你是否需要配置該設置以滿足要求。當然,你始終可以定義該設置(及其他設置),以便確信遠程桌面會話主機的配置與你希望的設置一樣。
設備和資源重定向――限制音頻回放質量
設置音頻回放質量可以改善慢速連接上的性能。不過,目前微軟在使用Dynamic(動態)回放質量:可以根據網絡帶寬,動態調整音頻質量。所以,我偏愛使用該設置;但如果質量總是應該很高(與網絡帶寬無關),就可以用該設置調整行為。此外有必要知道這一點,選擇Disabled(禁用),音頻回放質量將是Dynamic(而不是一些人預期的沒有音頻回放)。
設備和資源重定向――不允許剪貼板重定向
你可以借助該策略,定義是否允許用戶通過剪貼板功能,拷貝/剪切和粘貼文本及/或圖片。默認情況下它被啟用,所以萬一不允許客戶端與遠程桌面會話主機之間共享任何信息,就應該啟用該設置,從而禁用剪貼板重定向功能。
設備和資源重定向――不允許驅動器重定向
你可以借助該策略,調整客戶端驅動程序重定向至遠程桌面會話主機。默認情況下,允許客戶端驅動器重定向,但可以用該策略來加以禁用。一些操作系統依賴驅動器重定向,以便允許文件拷貝重定向以及剪貼板重定向,比如Windows 2003,或者使用Windows客戶端操作系統作為遠程桌面主機。無法使用驅動器重定向來設置U盤重定向,但可以通過即插即用重定向來加以設置。
設備和資源重定向――不允許端口重定向
COM和LPT端口在會話里面也可以重定向。現在,這類端口不再頻繁使用,因為之前通過這類設備連接的設備現在改用USB來連接。
設備和資源重定向――不允許支持的即插即用設備重定向
默認情況下,允許即插即用設備重定向,所以只有你想完全禁用即插即用設備的重定向,才應該配置該設置以啟用。使用更多的是這個選項?:使用Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions policy settings這個策略,限制即插即用設備的特定類型。
設備和資源重定向――不允許智能卡設備重定向
這跟前面的幾個設置很相似;默認情況下允許智能卡設備在遠程桌面會話里面重定向;如果需要在遠程桌面會話里面禁用智能卡設備,應啟用該策略。
設備和資源重定向――允許時區重定向
你可以借助該設置,調整時區重定向行為。你啟用該設置后,客戶端會將其時區轉發到遠程桌面會話主機;所以,如果你連接到遠程桌面,客戶端的本地時間不會顯示。默認情況下,時區重定向不會進行,遠程桌面會話主機的時間會顯示。如果你發行了遠程桌面,同時客戶端又在不同的時區,才需要配置該設置。
結束語
在這第二篇文章中,我開始介紹可以在遠程桌面會話主機上定義的可用策略。由于這個層面上有好多策略,我會在下一篇文章中繼續介紹這些策略設置。敬請關注。
