如何对终端服务服务器应用组策略对象

文章翻译 文章翻译
文章编号: 260370 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

“Microsoft Windows 2000 终端服务”服务器是以“应用程序服务器”模式为用户安装的。当“Windows 2000 终端服务”服务器处于 Windows 2000 Active Directory 域中时,域管理员会向“终端服务”服务器实施“组策略对象”(GPO) 以控制用户环境。本文介绍了一种向“终端服务”应用 GPO 而不给网络上的其他 Windows 2000 服务器带来负面影响的推荐过程。

更多信息

向“终端服务”应用 GPO 而不给网络上其他 Windows 2000 服务器计算机带来负面影响的方法有两种。

方法 1

第一种方法是专门为“应用程序服务器”模式的“终端服务”服务器创建一个组织单位 (OU)。此 OU 允许特定的 GPO 只应用于这些“终端服务”计算机,这样就为用户创建了一种严密控制的“终端服务”使用体验,而又不会影响 Active Directory 域中的其他服务器。此 OU 不应包含用户或其他计算机;这样域管理员可以细调“终端服务”使用体验。此 OU 还可以将控制权委派给从属组,如服务器操作员或具体用户。

要为“终端服务”服务器创建一个新的 OU,请按照下列步骤操作:
  1. 在任务栏上,单击开始,指向程序,指向管理工具,然后单击“Active Directory 用户和计算机”。
  2. 展开左窗格。
  3. 单击域名.xxx
  4. 操作菜单上,单击新建,然后单击组织单位
  5. 名称框中,为“终端服务”服务器键入一个名称。
  6. 单击确定

    现在,新的“终端服务”OU 出现在了左窗格中的列表中,并且不包含默认对象。“终端服务”服务器既可以驻留在计算机 OU 中,也可以驻留在域控制器 OU 中。
  7. 找到并单击所有“终端服务”服务器,单击操作,然后单击移动
  8. 移动对话框中,单击所有新的“终端服务”服务器,然后单击确定
  9. 单击新的终端服务 OU 以验证移动过程是否成功完成。
要创建终端服务组策略对象,请按照下列步骤操作:
  1. 单击新的终端服务 OU。
  2. 操作菜单上,单击属性
  3. 单击组策略选项卡。
  4. 单击新建以创建新组策略对象。
  5. 单击编辑修改该组策略。

    注意:多数相关设置都在计算机配置安全设置本地策略中。例如,在右边列表中的用户权限分配下,您可以找到“本地登录”,它是登录到“终端服务”上的会话所要求的;您还可以找到“从网络访问此计算机”,它是连接到“终端服务”会话之外的服务器所要求的。您还可以在此阻止用户关闭系统。许多限制应在“安全选项”文件夹中做出,而且这个文件夹中的设置与 Windows NT 4.0 Server 和终端服务器版中的 NTConfig.pol 文件中的设置类似。策略中用户部分的设置 应在此应用,因为用户没有放入该“终端服务”服务器的 OU 中。本文是针对计算机策略实施而编写的。
  6. 完成修改之后,关闭“组策略”编辑器,然后单击关闭以关闭 OU 属性。

方法 2

第二种方法是使用 GPO 环回策略将 GPO 专门应用于“终端服务”服务器。此策略指导系统将一组针对计算机的“组策略”对象应用到任何登录到受该策略影响的计算机的用户。此策略是为特殊用途计算机制定的,例如在公共场所、实验室和教室中的计算机,在这些环境中,您必须根据使用的计算机修改用户策略。若没有环回策略,用户的“组策略”对象将确定应用哪些用户策略。如果启用了此策略,那么在确定应用哪一组“组策略”对象时,用户的计算机对象的位置将是主要决定因素。

下面的知识库文章介绍了这一实施方式:
231287 组策略环回处理
Windows NT 4.0 终端服务版中系统策略的实施方式也与在其他 Windows NT 服务器中的实施方式不同,如下面的知识库文章中所述:
192794 How to Apply System Policies to Terminal Server
只要可能,就应将“终端服务”安装在 Windows 2000 成员服务器上而不是域控制器上,因为用户需要本地登录用户权限。当将“本地登录”权限授予域控制器时,此权限就会授予域中的每一个域控制器,因为 Active Directory 数据库是共享的。当以“应用程序服务器”模式安装“终端服务”时,在本地安全策略中,默认情况下授予 Windows 2000 成员服务器“本地登录”用户权限。

有关本地登录权限的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
247989 域控制器要求“在本机登录”组策略对象以建立终端服务客户连接
234237 Assign Log On locally Rights to Windows 2000 Domain Controller
Windows NT 4.0 终端服务版在向域控制器授予本地登录权限时存在同样的问题,因为公用的“安全帐户管理器”(SAM) 数据库从主域控制器 (PDC) 复制到了所有备份域控制器。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
186529 Local Policy Does Not Permit You to Log On Interactively


应当将终端服务器的计算机帐户添加到为实现环回而创建的 GPO 的安全属性中。为此,请按照下列步骤操作:

  1. 选择为实现环回而创建的 GPO 的“安全”选项卡。
  2. 单击添加
  3. 从域列表中选择计算机帐户。
  4. 从权限字段中选择“读取”和“应用组策略”权限。
  5. 单击确定以关闭并保存策略设置。

属性

文章编号: 260370 - 最后修改: 2004年5月14日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbhowto kbinfo kbenv kbtermserv KB260370
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com