Управление службами терминалов с помощью групповой политики

Опубликовано: 24 Апреля, 2023


Введение


Терминальные серверы Windows играют особую роль в каждой среде. Технически это серверы, но они используются как рабочие станции, поскольку пользователи входят на эти машины для запуска приложений конечных пользователей. К счастью, групповая политика имеет функцию, называемую обработкой политик замыкания на себя, которая устраняет необходимость применения определенных параметров к пользователям в зависимости не от местоположения их учетной записи в Active Directory, а скорее от местоположения объекта «Компьютер сервера терминалов». Это позволяет администраторам обеспечивать заблокированную среду, когда пользователи входят в систему на этих конкретных машинах, не затрагивая настройки на своих клиентских машинах.


Вызов


Если вы работаете в крупной организации, обязанности ИТ-отдела, скорее всего, разделены как пирог, поэтому люди, управляющие терминальными серверами, могут не иметь доступа к управлению Active Directory или групповой политикой. Если вам повезет, сотрудники Active Directory согласятся предоставить администраторам терминального сервера организационную единицу (OU), которой они смогут управлять. Если нет, вы застряли, используя локальные политики или заставляя пользователей Active Directory применять нужные вам настройки, что может быть сложно в большой среде.


Настраивать


Для начала мы начнем с MMC «Пользователи и компьютеры Active Directory», где мы хотим добавить OU для хранения наших терминальных серверов.



После того, как мы создали наше подразделение терминальных серверов, нам нужно создать объект групповой политики (GPO) для управления этими серверами, которые будут размещены в этом подразделении. Стоит повторить, что в эту OU будут помещены только компьютерные объекты терминального сервера, поскольку расположение объектов учетных записей пользователей не имеет значения при использовании обработки политик замыкания на себя.



Поскольку объект групповой политики Loopback часто создается для обеспечения жесткой блокировки пользовательской среды, важно, чтобы параметры политики не влияли на учетные записи, используемые для управления терминальными серверами. Этого можно добиться, отредактировав параметры безопасности объекта групповой политики и включив «Запретить применение политики» для этих учетных записей, чтобы при входе пользователя в заблокированную среду не применялись. Также следует включить параметр «Применить групповую политику» для объектов «Компьютер сервера терминалов» или группы безопасности, членом которой они являются.



Чтобы включить обработку политики замыкания на себя в объекте групповой политики, перейдите в «Конфигурация компьютера -> Административные шаблоны -> Система -> Групповая политика -> Режим обработки зацикливания пользовательской групповой политики».



При включении этого параметра политики есть два варианта («Заменить» и «Объединить»). Если целью является использование только параметров, определенных в этой политике, следует выбрать «Заменить». Однако, если цель состоит в том, чтобы использовать все параметры этой политики и параметры, полученные на основе местоположения учетной записи пользователя, выберите Объединить.



Часто используемые параметры политики


Теперь, когда мы знаем, как создать объект групповой политики и включить обработку политики замыкания на себя, давайте обсудим некоторые часто используемые параметры для сред терминального сервера.



  • Путь к перемещаемому профилю сервера терминалов. Крайне важно, чтобы обычный перемещаемый профиль пользователя не использовался при входе на сервер терминалов, так как это может привести к повреждению профиля и потере данных. Кроме того, если у пользователя есть обычный перемещаемый профиль, но не определен перемещаемый профиль сервера терминалов, будет загружен обычный перемещаемый профиль. Чтобы избежать этого, можно определить путь к перемещаемому профилю TS через GPO.

При указании пути к профилю TS введите путь UNC к общему ресурсу, в котором будут храниться профили пользователя. Не используйте %UserName%, так как папка пользователя будет автоматически добавлена при входе в систему. Важно, чтобы у CREATOR OWNER были права доступа к общему ресурсу, иначе папки не будут созданы при входе пользователя в систему.



Этот параметр политики находится в разделе «Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы терминалов -> Установить путь для перемещаемых профилей TS».




  • Keep-Alive Connections — если этот параметр включен, пульсация используется для поддержания сеанса служб терминалов в активном состоянии, когда сеанс простаивает, т. е. если приложение свернуто.
  • Автоматическое повторное подключение — позволяет клиенту служб терминалов повторно подключаться к отключенному сеансу вместо создания нового сеанса на том же сервере. Этот параметр не учитывает наличие нескольких серверов и не направляет пользователей на сервер с отключенным сеансом. Эти функции доступны через сторонние балансировщики нагрузки или каталог сеансов сервера терминалов.
  • Принудительное удаление обоев удаленного рабочего стола — позволяет администраторам запрещать пользователям устанавливать обои рабочего стола, чтобы уменьшить требования к пропускной способности и повысить воспринимаемую пользователями производительность.
  • Удалить параметр «Отключить» из диалогового окна «Завершение работы» — этот параметр часто включается, если пользователи выходят из системы через Windows GINA (ctrl+alt+delete) и пользователь должен выйти из системы, а не отключаться от своего сеанса.
  • Установить режим лицензирования сервера терминалов — переопределяет режим лицензирования сервера терминалов, определенный в конфигурации сервера терминалов (TSCC.MSC).



  • Установка правил для удаленного управления сеансами пользователей служб терминалов. Этот сеанс позволяет выполнять глобальную настройку удаленного управления (теневого) сеансов, т. е. устанавливать для каждого сеанса полный доступ без разрешения пользователя.



  • Удалить кэшированные копии перемещаемых профилей — даже если используются перемещаемые профили TS, локальная копия профиля остается на сервере терминалов (по умолчанию). В большой среде с сотнями или тысячами потенциальных пользователей, оставление их на терминальном сервере может занимать довольно много места на диске. Включение этого параметра приведет к удалению локального профиля при выходе из системы после того, как он будет успешно распространен на путь перемещаемого профиля служб терминалов.
  • Добавить группу безопасности «Администраторы» в перемещаемые профили пользователей. По умолчанию при создании папок перемещаемых профилей пользователя только конкретный пользователь и системная учетная запись имеют разрешения NTFS для этой папки. Чтобы изменить это поведение, можно включить этот параметр политики, который добавит группу безопасности «Администраторы» в новые профили. Этот параметр НЕ влияет на профили, созданные до включения политики.



  • Поведение резервного драйвера принтера на сервере терминалов — этот параметр позволяет автоматически создавать клиентские принтеры с использованием универсального драйвера PCL или PS, когда собственный драйвер недоступен на сервере терминалов.


Этот параметр политики находится в разделе «Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы терминалов -> Перенаправление данных клиента/сервера -> Поведение драйвера резервного принтера сервера терминалов».



  • Перенаправление папки — эти настройки помогают сократить время, необходимое для входа в систему, путем перенаправления частей локального профиля пользователя в общие сетевые ресурсы, т. е. в домашний каталог пользователя.


Этот параметр политики находится в «Конфигурация пользователя» -> «Параметры Windows» -> «Перенаправление папок» -> «Мои документы». Также есть варианты перенаправления папок «Данные приложения», «Рабочий стол» и «Пуск».



  • Очищать папку временных файлов Интернета при закрытии браузера. Включение этого параметра приведет к удалению временных файлов Интернета пользователя при закрытии его Интернет-браузера.
  • Автоматически проверять наличие обновлений для Internet Explorer. Если отключить этот параметр, Internet Explorer не будет периодически проверять наличие обновлений.
  • Воспроизведение анимации/звука/видео на веб-страницах. Отключение этих трех параметров может повысить масштабируемость сервера за счет снижения пропускной способности, памяти и использования процессора при отображении веб-страниц со встроенным мультимедийным содержимым.


Вывод


Хотя полная блокировка серверов терминалов Windows выходит за рамки этой статьи, мы затронули несколько часто упускаемых из виду или неправильно понимаемых параметров, которые позволят администраторам сервера терминалов лучше контролировать среду конечного пользователя и глобальные настройки сервера терминалов.


использованная литература


Loopback-обработка групповой политики


Как применить объекты групповой политики к серверам служб терминалов

Виртуализация

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Типы клиентов Citrix: возможности и ограничения
25 Апреля, 2023
Мой процессор на 100%, что я могу с этим поделать?
25 Апреля, 2023
Запуск устаревших 16-разрядных приложений в среде службы терминалов
25 Апреля, 2023
Внутри среды изоляции приложений Citrix Presentation Server
25 Апреля, 2023
Управление полосой пропускания: Часть 1 – Старомодный способ
25 Апреля, 2023
Управление специфичными для пользователя данными конфигурации приложения в среде службы терминалов
25 Апреля, 2023
Работа с плохой пропускной способностью и задержкой
25 Апреля, 2023
Терминальный сервер и вызов профиля
25 Апреля, 2023