Групповая политика служб терминалов

Опубликовано: 25 Марта, 2023

MSTerminalServices.org


С введением групповой политики служб терминалов в Windows Server 2003 Microsoft добавляет новые возможности для управления службами терминалов в корпоративных средах. Эти параметры групповой политики можно использовать для управления многими функциями служб терминалов, включая настройку сервера, клиентские сеансы, безопасность и лицензирование. Некоторые из этих параметров также можно указать с помощью оснастки MMC «Конфигурация служб терминалов», но использование групповой политики является более простым подходом, если на предприятии имеется несколько серверов терминалов и много пользователей служб терминалов. Мы начнем с описания различных видов политик, доступных для управления службами терминалов, а затем сосредоточимся на нескольких ключевых политиках, которые вы, возможно, захотите настроить. После этого вы можете либо настроить эти политики на отдельных терминальных серверах, отредактировав объект локальной групповой политики (LGPO) на этих машинах, либо вы можете настроить эти политики в объекте групповой политики (GPO), связанном с подразделением (OU), в котором находится ваш терминал. учетные записи серверного компьютера проживают. Это ваш выбор, и какой метод вы используете, зависит от сложности вашей среды.


Обзор политик служб терминалов


Политики для управления службами терминалов находятся в двух местах:



  • Параметры для каждой машины находятся в папке Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов.
  • Настройки для каждого пользователя находятся в разделе Конфигурация пользователяАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов.

Подавляющее большинство политик служб терминалов основаны на машинах и показаны на рис. 1:



Изображение 20979
Рис. 1. Политики на основе компьютеров для управления службами терминалов.


Ниже приведен краткий обзор различных типов политик, находящихся в разделе «Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов» и его различных подузлов (мы рассмотрим несколько ключевых политик далее в этой статье):



  • Корневой узел — это различные политики для повышения производительности сервера терминалов и расширения возможностей пользователей служб терминалов.
  • Перенаправление данных клиент/сервер — это различные политики для управления перенаправлением принтеров, аудиоустройств, COM-портов и других устройств и служб на клиентские компьютеры служб терминалов.
  • Шифрование и безопасность — это параметры для улучшения или управления безопасностью сред служб терминалов.
  • Лицензирование — это настройки, относящиеся к лицензированию сервера терминалов.
  • Временные папки — это параметры, определяющие, поддерживают ли службы терминалов отдельные папки emp для каждого пользователя служб терминалов и удаляются ли эти папки emp после завершения сеанса.
  • Каталог сеанса — это параметры, характерные для сред кластера сервера терминалов.
  • Сеансы — это параметры, которые определяют время ожидания сеансов пользователей служб терминалов и то, как пользователи могут повторно подключать свои сеансы.


Изображение 20980
Рисунок 2: Пользовательские политики для управления службами терминалов.


Как показано на рис. 2 выше, в разделе Конфигурация пользователяАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов нужно учитывать меньше политик:



  • Корневой узел — это политики, регулирующие удаленное управление сеансами пользователей и необходимость запуска программы при подключении пользователей к терминальным серверам.
  • Сеансы — это параметры, которые определяют время ожидания сеансов пользователей служб терминалов и то, как пользователи могут повторно подключать свои сеансы.


ПРИМЕЧАНИЕ:
Обратите внимание, что параметры политики Конфигурация пользователяАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов совпадают с параметрами, которые находятся в разделе Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов. Если один и тот же параметр политики настроен как для политики компьютера, так и для политики пользователя, политика компьютера будет иметь приоритет.


Некоторые ключевые политики для настройки


Если вы работаете в среде служб терминалов, есть несколько ключевых политик, которые вы можете настроить, чтобы упростить свою жизнь как администратора, а также облегчить жизнь ваших пользователей. Вот семь ключевых политик, которые могут быть полезны для реализации с помощью групповой политики (обратите внимание, что для этих политик требуется Windows XP на стороне клиента и Windows Server 2003 на стороне сервера):



  • Удалить параметр отключения из диалогового окна «Завершение работы» — эта политика находится в разделе «Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов», и установка для нее значения «Включено» может помочь повысить производительность вашего сервера терминалов. Причина в том, что это не позволяет пользователям использовать диалоговое окно «Завершение работы» и отключать сеанс служб терминалов вместо завершения сеанса. Если сеанс служб терминалов отключен, сеанс продолжает работать на сервере терминалов и использует ресурсы сервера (процессор, память, диск). Если вместо этого сеанс завершается, ресурсы, используемые сеансом, высвобождаются для использования в других сеансах. Так что, если ваш терминальный сервер работает почти на пределе своих возможностей для поддержки ваших пользователей, важно, чтобы пользователям не разрешалось отключать свои сеансы и оставлять их работающими на сервере и перехватывать ресурсы, которые могут быть использованы другими пользователями. Недостатком этой политики является то, что она удаляет только параметр отключения из диалогового окна «Завершение работы» и не запрещает пользователям отключать сеанс другими способами, например, путем отключения сетевого подключения. В результате вы также должны настроить следующую политику.
  • Устанавливает ограничение по времени для отключенных сеансов. Эта политика находится как в разделе «Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы терминаловСеансы», так и в разделе «Конфигурация пользователяАдминистративные шаблоныКомпоненты WindowsСлужбы терминаловСеансы», и ее можно использовать в сочетании с предыдущей выше, чтобы повысить производительность сервера терминалов. Настроив отключенные сеансы на время ожидания после короткого периода времени, вы можете гарантировать, что ресурсы для вашего сервера будут освобождены, когда они больше не нужны пользователю служб терминалов. Обратите внимание, что этот параметр не влияет на сеансы консоли или удаленного рабочего стола.
  • Устанавливает ограничение по времени для активных, но простаивающих сеансов служб терминалов. Эта политика находится как в разделе «Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы терминаловСеансы», так и в разделе «Конфигурация пользователяАдминистративные шаблоныКомпоненты WindowsСлужбы терминаловСеансы» и полезна для улучшения безопасность среды служб терминалов. Что происходит, когда вы включаете этот параметр и указываете тайм-аут, так это то, что если сеанс служб терминалов пользователя простаивает (то есть пользователь не использует клавиатуру или мышь), то за две минуты до истечения тайм-аута пользователь предупреждается, что они собираются быть отключенным. Если пользователь не отвечает вовремя, сеанс отключается и продолжает работать на сервере, но пользователю необходимо повторно подключиться к сеансу, чтобы продолжить свою работу. Это полезно, если вы обеспокоены тем, что пользователи могут уйти со своих компьютеров и оставить сеансы служб терминалов работающими, не блокируя свою рабочую станцию, но если вы включите этот параметр, вы, вероятно, не захотите включать предыдущий параметр выше, так как результат будет бездействующие сеансы завершаются, и пользователи, возможно, теряют свою работу.
  • Keep-Alive Connections — эта политика находится в разделе Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов и полезна в средах, где сетевое подключение пользователя служб терминалов ненадежно, например, когда удаленный пользователь подключается к серверу терминалов через WAN-ссылка. Что происходит, так это то, что когда вы включаете эту политику и указываете интервал времени поддержания активности, сервер терминалов периодически проверяет, чтобы убедиться, что сеанс пользователя все еще подключен. Затем, если сервер определяет, что сетевое соединение отключено, сервер переводит сеанс пользователя в отключенное состояние, чтобы, когда соединение восстановится, пользователь мог повторно подключиться к своему сеансу и продолжить свою работу. Что может произойти, если вы не включите эту политику, так это то, что сетевое соединение может выйти из строя и оставить сеанс пользователя в активном, но потерянном состоянии, а затем, когда соединение восстановится, пользователь не сможет повторно подключиться к своему сеанс на сервере, потому что он считается активным (используемым) и не отключенным. Затем пользователь может запустить новый сеанс служб терминалов, оставив потерянный сеанс все еще работающим на сервере и потребляя ресурсы, которые можно было бы использовать для других пользователей.
  • Автоматическое повторное подключение — эта политика находится в разделе «Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов» и может использоваться вместе с предыдущей политикой, чтобы гарантировать автоматическое повторное подключение пользователей к серверу терминалов, когда их сетевое соединение неожиданно отключается. Что происходит, когда вы включаете этот параметр, так это то, что когда сетевое соединение выходит из строя, сервер терминалов пытается восстановить соединение с удаленным клиентом каждые пять секунд и продолжает попытки до двадцати раз, прежде чем сдаться. Если ваше сетевое соединение содержит ошибки и часто отключается на короткие периоды времени (что характерно для определенных типов соединений WAN), то в результате пользователи будут лучше работать со службами терминалов, поскольку им не придется вручную повторно подключаться к отключенным сеансам.
  • Ограничить пользователей служб терминалов одним удаленным сеансом. Эта политика находится в разделе Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов и может помочь защитить сервер терминалов от чрезмерного использования ресурсов, не позволяя пользователям запускать более одного сеанса с терминалом. сервер. Этот параметр может быть полезен для включения в среде, где пользователям разрешен вход в сеть с нескольких компьютеров, а не только их собственные рабочие столы.
  • Ограничить максимальную глубину цвета. Эта политика находится в разделе «Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов» и может помочь повысить производительность сервера терминалов, который уже работает на пределе своих возможностей. Включение этой политики ограничивает глубину цвета дисплея на клиентских компьютерах служб терминалов указанным числом битов. При таком ограничении глубины цвета снижается пропускная способность сети, используемая протоколом RDP, и это может как уменьшить нагрузку на сервер терминалов, так и предотвратить насыщение медленных каналов глобальной сети.


Вывод


Использование групповой политики может значительно упростить задачу управления терминальными серверами и удаленными пользователями. В этой статье мы рассмотрели ситуацию с точки зрения политики служб терминалов, а также выделили семь полезных политик, которые вы, возможно, захотите настроить. Если у вас есть другие рекомендации по настройке параметров политики служб терминалов, я буду рад услышать от вас, поэтому не стесняйтесь обращаться ко мне по адресу [email protected]. Не забудьте также посетить мой блог ITreader.net, где я часто публикую советы и предложения, касающиеся групповой политики и других аспектов администрирования Windows. В моем блоге также есть RSS-канал, так что вы можете подписаться на него, если используете программу для чтения новостей.


MSTerminalServices.org

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023