为了有效管理每个远程终端的资源,并让终端用户能使用服务器上的各种合法资源,有不少的企业部署了基于Windows Server 2003的终端服务器 。随着大家终端服务器在IT管理中的应用越来越广泛,也遇到越来越多的问题 。另外,基于某些特殊的应用需求,需要对终端服务器进行灵活的定制,以适应我们的需要 。下面笔者列举比较典型的三个方面进行定制,让其更好地为我们服务 。
1、终端服务器限制用户账户登录
部署终端服务器后,出于安全考虑我们不希望某些用户进行远程登录到终端服务器 。Server 2003平台的终端服务器默认情况下一个用户可以在两个客户端进行远程登录 。在某些特殊的情况下,我们只希望某个帐户只能进行一个远程登录 。以上的两个应用需求是很多管理员遇到并且比较困惑的 。下面笔者分别叙述其实现方法 。
(1).限制某些用户登录终端服务器,这在Server 2003上是非常容易实现的 。在通常情况下,我们的终端服务使用的都是远程桌面模式,客户端通过远程桌面登录到终端服务器 。因此我们可以从远程桌面入手进行用户登录的限制,只给一些用户登录权限,对应的其他用户也就没有权限了 。
右击“我的电脑选择“属性打开“系统属性窗口,点击“远程选项卡,在“远程桌面下勾选“启用这台计算机上的远程桌面,开启远程桌面 。然后点击“选择远程用户按钮,然后点击“添加按钮根据事先指定的策略添加自己授权的可以进行远程桌面连接的用户 。比如我们授权lw用户,只需在“输入对象名称来选择下输入即可,当然也可以点击“高级按钮,通过“立即查找功能添加系统中存在的用户 。(图1);;;;
【2003终端服务器相关】图1
;
;默认情况下,administrator用户拥有登录权限的,有时我们为了安全防止攻击者尝试用其登录登录终端服务器 。那如何禁止administrator远程登录终端服务器呢?最极端的方式是禁用administrator用户,在命令提示符下输入命令:net user administrator /active:no即可 。还有可以通过组策略为administrator改名(计算机配置→Windows设置→安全设置→本地策略→安全选项→帐户:重命名系统管理员) 。笔者推荐的做法是通过组策略取消administrator登录终端服务器的权限,其组策略位置是:计算机配置→Windows设置→安全设置→本地策略→用户权限分配,双击“通过终端服务允许登录,选择administrators用户,点击删除,然后添加许可的用户即可 。这样,当别人恶意尝试登录终端服务器的时候会弹出如图的警告,拒绝登录 。(图2);;
图2
(2).要实现一个用户只能进行一次终端登录,我们可以通过对终端服务器的设置来实现,操作步骤是:点击“开始,依次定位到“控制面板→管理工具→终端服务配置,单击“服务器设置在详细信息窗格中,右键单击“限制每个用户使用一个会话,然后单击“属性 。勾选“限制每个用户使用一个会话复选框,然后单击“确定即可 。(图3);;;
2、终端服务器超出最大允许连接数
通常情况下,企业中有多个管理员,他们都有权限可以登录到终端服务器 。默认情况下,administrator的远程桌面连接数2个 。如果此时正好有两个管理员远程桌面连接到终端服务器,那么第三个管理员就不能登陆,会提示“终端服务器超出了最大允许连接数,无法进行登录 。(图4);
图4
;
;另外,某些管理员远程登录结束后不是按照常规做法从终端服务器中注销用户,而是直接端口连接 。这样的话,虽然远程用户已经断开了与终端服务器的远程桌面连接,但是session(会话)还停留在服务器端,也会有上面的提示造成无法登录 。
推荐阅读
- 远程操作服务器出现“终端服务器超出了最大允许连接数解决方法
- 网吧服务器RAID 0+1硬盘阵列组建
- Windows Server 2003 做软RAID教程
- Windows 2003 VPN制作方法
- Windows 2003系统优化小技巧
- 几种取消Windows 2003关机提示的方法
- 在 Windows Server 2003 中为 PPTP VPN 客户端配置数据包筛选器支持
- 在 Windows Server 2003 中为 Microsoft SMTP 服务配置本地域
- 在 Windows Server 2003 中为 Internet 信息服务 SMTP 邮件中继服务器配置远程域
- 在 Windows Server 2003 中为 DNS 配置 Internet 访问