Обзор шлюза службы терминалов Longhorn Server (часть 5)

Опубликовано: 24 Апреля, 2023

  • Обзор шлюза службы терминалов Longhorn Server (часть 1)
  • Обзор шлюза службы терминалов Longhorn Server (часть 2)
  • Обзор шлюза службы терминалов Longhorn Server (часть 3)
  • Обзор шлюза службы терминалов Longhorn Server (часть 4)

В четвертой части этой серии я провел вас через процедуру создания политики авторизации подключения. Единственная часть головоломки, которая еще не завершена, заключается в том, что нам нужно установить некоторые элементы управления, которые ограничивают ресурсы, к которым имеют доступ удаленные пользователи. В этой статье я завершу эту серию, показав, как создавать группы ресурсов и как создавать политики доступа к ресурсам, которые контролируют доступ пользователей к группам ресурсов.

Создание группы ресурсов

Первое, что нам нужно сделать, это создать одну или несколько групп ресурсов. Идея группы ресурсов заключается в том, что не всем удаленным пользователям потребуется доступ ко всем серверам в вашей частной сети. Группа ресурсов — это набор имен серверов или IP-адресов серверов. После определения группы ресурсов вы сможете определить политику доступа к ресурсам, которая контролирует, к каким ресурсам сервера имеют доступ различные пользователи.

Чтобы создать группу ресурсов, начните с открытия консоли управления шлюзом служб терминалов, если она еще не открыта. Когда консоль откроется, перейдите по дереву консоли к контейнеру, который представляет ваш сервер шлюза служб терминалов. При выборе этого контейнера в средней панели консоли будет отображаться информация о состоянии сервера.

Перейдите в раздел «Состояние конфигурации» на средней панели консоли и щелкните ссылку «Просмотр политик авторизации ресурсов». Когда вы это сделаете, в средней панели консоли отобразятся все существующие политики авторизации ресурсов. Поскольку мы все еще работаем над первоначальной настройкой сервера, их не должно быть.

Если вы снова посмотрите на дерево консоли слева, вы увидите, что контейнер Resource Authorization был развернут и выбран контейнер Resource Authorization Policies. Выберите контейнер «Группы ресурсов», расположенный под контейнером «Политики авторизации ресурсов». На средней панели консоли теперь должны отображаться все существующие группы ресурсов (их нет).

Теперь перейдите на панель «Действия» и нажмите кнопку «Создать». Когда вы это сделаете, вы увидите страницу свойств новой локальной группы ресурсов. Первое, что вы должны сделать, это ввести имя новой группы ресурсов в поле, предусмотренное на вкладке «Общие» листа свойств. Имя группы ресурсов должно быть описательным, но оно должно быть коротким, и вы должны избегать использования пробелов или специальных символов.

После ввода имени группы ресурсов выберите вкладку Ресурсы листа свойств. Эта вкладка позволяет контролировать, к каким ресурсам разрешен доступ удаленным пользователям, к которым относится группа ресурсов. У вас есть возможность предоставить доступ ко всем ресурсам или к определенным серверам. Если вы решите ограничить доступ группы ресурсов к определенным серверам, вы должны ввести либо имя, либо IP-адрес каждого сервера, к которому вы хотите предоставить группе доступ. Когда вы закончите, нажмите OK, чтобы создать группу ресурсов.

При создании групп ресурсов следует помнить об одном. Когда пользователь обращается к удаленному серверу, существует несколько различных способов доступа к этому удаленному серверу. К серверу можно обращаться по его IP-адресу, NetBIOS-имени или полному доменному имени. Сервер Longhorn все еще находится в стадии бета-тестирования, поэтому к моменту выпуска продукта все может измениться. Однако на данный момент группа ресурсов не может отличить NetBIOS-имя сервера от его полного доменного имени.

Это означает, что если вы ввели NetBIOS-имя сервера в группу ресурсов, но не ввели полное доменное имя сервера, то пользователю может быть отказано в доступе к серверу, если он попытается обратиться к нему с помощью полного домена. имя. Опять же, я не уверен, планирует ли Microsoft решить эту проблему до выпуска Longhorn Server.

Создание политики доступа к ресурсам

Теперь, когда вы определили одну или несколько групп ресурсов, пришло время создать политику доступа к ресурсам. Как я объяснял ранее, политики доступа к ресурсам позволяют вам контролировать доступ пользователей к группам ресурсов, которые вы только что создали.

Чтобы создать политику доступа к ресурсам, начните с открытия консоли управления шлюзом служб терминалов, если она еще не открыта. Когда консоль откроется, перейдите по дереву консоли к контейнеру, который представляет ваш сервер шлюза служб терминалов. При выборе этого контейнера в средней панели консоли будет отображаться информация о состоянии сервера.

Перейдите в раздел «Состояние конфигурации» на средней панели консоли и щелкните ссылку «Просмотр политик авторизации ресурсов». Когда вы это сделаете, в средней панели консоли отобразятся все существующие политики авторизации ресурсов. Поскольку мы все еще работаем над первоначальной настройкой сервера, в списке не должно быть никаких политик авторизации ресурсов.

Следующим шагом в этом процессе является переход на панель «Действия» и нажатие ссылки «Создать новую политику». Когда вы это сделаете, Windows отобразит страницу свойств новой политики авторизации ресурсов. Когда откроется лист свойств, перейдите на вкладку «Общие» и введите имя политики и предоставленное пространство. Вам потребуется ограничить имя политики не более чем 64 символами. Если вам нужно больше места, то на вкладке «Общие» также можно ввести необязательное описание.

Теперь, когда вы ввели имя для новой политики авторизации ресурсов, пришло время связать группы пользователей и группы ресурсов с политикой. Выберите вкладку «Группы пользователей» на странице свойств, и вы увидите список групп пользователей, привязанных к политике авторизации ресурсов. Поскольку это совершенно новая политика, в настоящее время к ней не должно быть привязано ни одной группы пользователей. Однако, если вы нажмете кнопку «Добавить», у вас будет возможность указать имена групп пользователей, к которым вы хотите применить политику авторизации ресурсов.

После того, как вы закончите ввод групп пользователей, к которым вы хотите применить политику, выберите вкладку Группа ресурсов на странице свойств. Здесь вы выбираете группы ресурсов, которые хотите привязать к политике. Все, что вам нужно сделать, это убедиться, что выбран переключатель «Локальная группа ресурсов», и нажать кнопку «Обзор». Когда вы это сделаете, вы увидите список групп ресурсов, которые вы определили ранее. Выберите группу ресурсов, которую вы хотите привязать к политике, и нажмите кнопку ОК.

Собираем все вместе

Наконец-то мы завершили процедуру настройки сервера Terminal Service Gateway и определения необходимых политик. Прежде чем я закончу эту статью, я просто хочу уделить минуту, чтобы пояснить, что на самом деле происходит, когда пользователь подключается к шлюзу службы терминалов.

Один пользователь массива подключается к шлюзу службы терминалов, первое, на что смотрит шлюз службы терминалов, — это политика авторизации подключения. Сервер должен убедиться, что учетная запись удаленного пользователя принадлежит включенной группе безопасности и одной из политик авторизации подключения. Шлюз службы терминалов также проверяет, разрешен ли метод аутентификации пользователя (пароль или смарт-карта).

После того как сервер шлюза службы терминалов определяет, что удаленному пользователю разрешено подключение, он просматривает политики авторизации ресурсов. Как вы видели ранее, политики авторизации ресурсов основаны на членстве в группах безопасности. Сервер шлюза службы терминалов просматривает членство пользователя в группе безопасности, чтобы определить, какие политики удаленной авторизации применяются к пользователю.

Как только сервер шлюза службы терминалов узнает, какие политики авторизации ресурсов применяются к удаленному пользователю, он просматривает эти политики, чтобы определить, к каким группам ресурсов пользователю должен быть предоставлен доступ. Имейте в виду, что группы ресурсов предоставляют удаленному пользователю доступ только для подключения к рассматриваемому серверу. Ресурсы на сервере по-прежнему защищены списками контроля доступа, как если бы пользователь подключался с компьютера в локальной сети.

Вывод

В этой серии статей я объяснил, что Terminal Service Gateway — это новая функция Longhorn Server, которая позволяет удаленным пользователям участвовать в сеансах терминального сервера через Интернет. Затем я провел вас через процесс настройки сервера шлюза службы терминалов.

Пытаясь выполнить эти процедуры самостоятельно, следует помнить о двух вещах. Во-первых, в то время, когда я писал эту статью, Longhorn Server все еще находился в стадии бета-тестирования. Все, о чем я говорил, потенциально может измениться к моменту окончательного выпуска Longhorn Server. Еще одна вещь, которую следует иметь в виду, это то, что продемонстрированные методы настройки могут быть или не быть достаточно безопасными для реального использования. Это особенно верно для той части конфигурации, о которой я говорил в третьей части и которая включала получение цифрового сертификата и передачу его на сервер.

  • Обзор шлюза службы терминалов Longhorn Server (часть 1)
  • Обзор шлюза службы терминалов Longhorn Server (часть 2)
  • Обзор шлюза службы терминалов Longhorn Server (часть 3)
  • Обзор шлюза службы терминалов Longhorn Server (часть 4)
Виртуализация

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Типы клиентов Citrix: возможности и ограничения
25 Апреля, 2023
Мой процессор на 100%, что я могу с этим поделать?
25 Апреля, 2023
Запуск устаревших 16-разрядных приложений в среде службы терминалов
25 Апреля, 2023
Внутри среды изоляции приложений Citrix Presentation Server
25 Апреля, 2023
Управление полосой пропускания: Часть 1 – Старомодный способ
25 Апреля, 2023
Управление специфичными для пользователя данными конфигурации приложения в среде службы терминалов
25 Апреля, 2023
Работа с плохой пропускной способностью и задержкой
25 Апреля, 2023
Терминальный сервер и вызов профиля
25 Апреля, 2023