Применение объектов групповой политики на сервере служб терминалов

Переводы статьи Переводы статьи
Код статьи: 260370 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Серверы служб терминалов в Microsoft Windows Server 2003 и Microsoft Windows 2000 устанавливаются для пользователей в режиме сервера приложений. Если серверы служб терминалов находятся в домене Active Directory, администратор домена реализует объекты групповой политики (GPO) на сервере служб терминалов с целью управления средой пользователя. В данной статье рассматривается рекомендуемый процесс применения объектов групповой политики на серверах служб терминалов, не оказывающий негативного воздействия на другие серверы в сети.

Дополнительная информация

Существует два способа применения объектов групповой политики на серверах служб терминалов, не оказывающих негативного влияния на другие серверы сети.

Способ 1

Объединение компьютеров сервера служб терминалов в собственное подразделение (OU). Такая конфигурация позволяет указать соответствующие настройки компьютеров в объектах групповой политики, которые применяются только к компьютерам сервера терминалов. Эта конфигурация не влияет на работу пользователей на рабочих станциях и других серверах и обеспечивает полный контроль над работой пользователей сервера терминалов. В подразделение не должны входить пользователи или другие компьютеры, чтобы обеспечить возможность тонкой настройки служб терминалов для администраторов домена. Управление подразделением также можно делегировать подчиненным группам, например операторам сервера или отдельным пользователям.

Для создания нового подразделения для серверов служб терминалов выполните следующие действия.
  1. Нажмите кнопку Пуск, выделите пункт Программы, затем пункт Администрирование и выберите команду Пользователи и компьютеры Active Directory.
  2. Разверните левую область.
  3. Щелкните пункт domainname.xxx.
  4. В меню Действие выберите пункт Создать и щелкните Подразделение.
  5. В поле Имя введите имя сервера служб терминалов.
  6. Нажмите кнопку ОК.

    Новое подразделение служб терминалов с объектами по умолчанию отобразится в списке в левой области. Серверы служб терминалов размещаются в подразделении «Компьютеры» или «Контроллеры домена».
  7. Найдите и выделите серверы терминалов, откройте меню Действие и выберите команду Переместить.
  8. В диалоговом окне Перемещение выделите новые серверы служб терминалов и нажмите кнопку OK.
  9. Щелкните новое подразделение служб терминалов, чтобы убедиться в успешности перемещения.
Для создания объекта групповой политики служб терминалов выполните следующие действия.
  1. Щелкните новое подразделение служб терминалов.
  2. В меню Действие выберите команду Свойства.
  3. Перейдите на вкладку Групповая политика.
  4. Нажмите кнопку Создать, чтобы создать новый объект групповой политики.
  5. Нажмите кнопку Правка, чтобы изменить групповую политику.

    Примечание. Большинство соответствующих параметров находятся в группах Конфигурация компьютера, Параметры безопасности или Локальные политики. Например, в группе Назначение прав пользователя в списке справа находится параметр Локальный вход в систему. Этот параметр требуется для присоединения к сеансу служб терминалов. Здесь же находится параметр Доступ к компьютеру из сети. Этот параметр требуется для подключения к серверу вне сеанса служб терминалов. С помощью этого параметра также можно запретить пользователя завершать работу системы. Большинство дальнейших ограничений производится в папке «Параметры безопасности», в которой также присутствуют параметры, аналогичные параметрам файла NTConfig.pol в Windows NT 4.0 Server и Terminal Server Edition. Настройки политики для пользователей здесь не применяются, поскольку пользователи не были включены в это подразделение с сервером служб терминалов. Содержимое данной статьи относится к реализации политики компьютера.
  6. После внесения всех изменений закройте редактор групповой политики и нажмите кнопку Закрыть, чтобы закрыть окно свойств подразделения.

Способ 2

Использование возможности групповой политики, называемой замыканием на себя, для применения параметров GPO конфигурации пользователя к пользователям только при входе в систему серверов терминалов. Компьютеры подразделения, содержащего серверы терминалов, для которых включен режим замыкания на себя объектов групповой политики, применяют параметры конфигурации пользователя из набора объектов групповой политики, которые применяются к этому подразделению. Кроме того, эти компьютеры применяют параметры конфигурации пользователя из объектов групповой политики, связанных с подразделением, содержащим учетную запись пользователя, или наследованных им.

Этот процесс описан в следующей статье базы знаний Майкрософт:
231287 Режим замыкания на себя групповой политики (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Реализация системных политик в службах терминалов Windows NT 4.0 также отличается от реализации на других серверах Windows NT и рассмотрена в следующей статье базы знаний Майкрософт:
192794 Применение системных политик на сервере терминалов (эта ссылка может указывать на содержимое полностью или частично на английском языке)
По возможности службы терминалов следует устанавливать на рядовых серверах, а не на контроллерах домена, поскольку пользователям необходимо присвоить право Локальный вход в систему. Когда право Локальный вход в систему присваивается контроллерам домена, из-за общей базы данных Active Directory оно присваивается каждому контроллеру домена в домене. При установке служб терминалов в режиме серверного приложения право Локальный вход в систему в локальной политике безопасности присваивается рядовым серверам по умолчанию.

Дополнительные сведения о праве «Локальный вход в систему» см. в следующих статьях базы знаний Майкрософт.
247989 Для контроллеров домена требуется объект групповой политики «Локальный вход в систему» для подключения клиентов к службам терминалов (эта ссылка может указывать на содержимое полностью или частично на английском языке)
234237 Предоставление права «Локальный вход в систему» на контроллерах домена (эта ссылка может указывать на содержимое полностью или частично на английском языке)
В Windows NT 4.0 Terminal Services Edition имеются аналогичные проблемы с объектом «Локальный вход в систему» на контроллерах домена из-за общей базы данных SAM (диспетчера учетных записей безопасности), реплицируемой с основного контроллера домена на все резервные контроллеры домена.

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
186529 Интерактивный вход в систему запрещен локальной политикой (эта ссылка может указывать на содержимое полностью или частично на английском языке)


Учетную запись компьютера сервера терминалов необходимо добавить к свойствам безопасности объекта групповой политики, который создается для замыкания на себя. Для этого выполните следующие действия.
  1. Выберите объект групповой политики, создаваемый для замыкания на себя и выберите команду Свойства.
  2. Откройте вкладку Безопасность и нажмите кнопку Добавить.
  3. В поле Выбор: пользователи, компьютеры и группы выберите учетную запись компьютера и нажмите кнопку OK.
  4. Выберите учетную запись компьютера в поле Группы и пользователи.
  5. В поле Разрешения для имя_компьютера установите флажки Чтение и Применение групповой политики в столбце Разрешить.
  6. Дважды нажмите кнопку ОК, чтобы закрыть и сохранить настройки политики.

Свойства

Код статьи: 260370 - Последний отзыв: 13 февраля 2006 г. - Revision: 3.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
Ключевые слова: 
kbhowto kbinfo kbenv kbtermserv kbwinservperf KB260370

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com