כיצד להחיל אובייקטי מדיניות קבוצתית על שרתים של שירותי מסוף

סיכום

עבור משתמשים במצב שרת יישומים מותקנים שרתים של שירותי מסוף של Microsoft Windows 2000 ושרתים של שירותי מסוף של Microsoft Windows Server 2003. כאשר שירותי מסופים ששרתים בקבוצת מחשבים של Active Directory, מנהל התחום מיישם אובייקטי מדיניות קבוצתית (Gpo) לשרת Terminal Services כדי לשלוט על סביבת המשתמש. מאמר זה מתאר את התהליך המומלץ של החלת אובייקטי Gpo שירותי מסופים מבלי להשפיע לרעה בשרתים אחרים ברשת.

מידע נוסף

קיימות שתי שיטות להחלת אובייקטי Gpo שירותי מסופים מבלי להשפיע לרעה בשרתים אחרים ברשת.

שיטה 1

למקם את מחשבי שרת מסופים משלהם היחידה הארגונית (OU). תצורה זו מאפשרת הגדרות תצורת המחשב הרלוונטיים כדי להציב ב- Gpo החלים רק על מחשבים של שרת מסוף. תצורה זו אינה משפיעה על חוויית המשתמש בתחנות עבודה או בשרתים אחרים ומאפשר לך ליצור חוויה Terminal Server מגבילים עבור משתמשים. OU זה אין לכלול משתמשים או מחשבים אחרים כך מנהלי תחום ניתן לכוונן את החוויה של שירותי מסופים. ניתן להקצות את ה-OU גם עבור פקד כפוף קבוצות כגון מפעילי שרת או משתמשים בודדים.

כדי ליצור OU חדש עבור שרתי Terminal Services, בצע את הפעולות הבאות:

  1. לחץ על התחל, הצבע על תוכניות, הצבע על כלי ניהולולאחר מכן לחץ על ומחשבים של Active Directory Users.

  2. הרחב את החלונית הימנית.

  3. לחץ על domainname.xxx.

  4. בתפריט פעולה , לחץ על חדשולאחר מכן לחץ על היחידה הארגונית.

  5. בתיבה שם , הקלד שם עבור שרת שירותי מסוף.

  6. לחץ על אישור.

    כעת, ה-OU שירותי מסוף חדש מופיע ברשימה בחלונית הימנית ומכיל אין אובייקטים של ברירת המחדל. השרתים של שירותי מסוף שוכנים OU המחשבים או היחידה הארגונית של בקרי תחום.

  7. אתר ולאחר מכן לחץ על שרת Terminal Services או שרתי, לחץ על פעולהולאחר מכן לחץ על העבר.

  8. בתיבת הדו-שיח העברה , לחץ על שרת שירותי מסוף חדש או שרתי ולאחר מכן לחץ על אישור.

  9. לחץ על OU שירותי מסוף חדש כדי לוודא כי ההעברה אירעה בהצלחה.

כדי ליצור אובייקט מדיניות קבוצתית של שירותי מסוף, בצע את הפעולות הבאות:

  1. לחץ על ה-OU שירותי מסוף חדש.

  2. בתפריט פעולה , לחץ על מאפיינים.

  3. לחץ על הכרטיסיה מדיניות קבוצתית .

  4. לחץ על חדש כדי ליצור אובייקט מדיניות קבוצתית חדשה.

  5. לחץ על עריכה כדי לשנות את המדיניות הקבוצתית.

    הערה: רוב הגדרות רלוונטיות הן תחת תצורת מחשב, הגדרות אבטחהאו פריטי מדיניות מקומיים. לדוגמה, תחת הקצאת זכויות משתמש ברשימה מצד ימין, תמצא להיכנס למערכת באופן מקומי. הגדרה זו נדרשת עבור כניסה להפעלה של שירותי מסוף. כמו כן, למצוא Access למחשב זה מהרשת. הגדרה זו נדרשת כדי להתחבר לשרת מחוץ בהפעלה של Terminal Services. זהו גם היכן באפשרותך למנוע ממשתמשים היכולת לכבות את המערכת. התיקיה אפשרויות אבטחה היא כאשר יש אפשרות לבצע רבות מההגבלות וכל קיימות הגדרות דומה לקובץ NTConfig.pol ב- Windows NT 4.0 Server והמהדורה של שרת מסוף. הגדרות עבור המשתמש חלק המדיניות אין להחיל כאן מאחר כי המשתמשים לא הוצבו לתוך OU זה עם שרת Terminal Services. מאמר זה נכתב עבור יישום מדיניות המחשב.

  6. לאחר השלמת השינויים, סגור את עורך המדיניות הקבוצתית ולאחר מכן לחץ על סגור כדי לסגור את מאפייני OU.

שיטה 2

להשתמש בתכונה הלולאה החוזרת של מדיניות קבוצתית כדי להחיל הגדרות GPO תצורת משתמש למשתמשים רק כאשר הם להתחבר לשרתי מסוף. כאשר ה-GPO עיבוד של בדיקת לולאה זמינה עבור המחשבים ב- OU המכילה רק שרתי מסוף, מחשבים אלה חלות הגדרות תצורת המשתמש מתוך הקבוצה של אובייקטי מדיניות קבוצתית החלים על OU זה. בנוסף, מחשבים אלה חלות הגדרות תצורת המשתמש מתוך Gpo המקושרים או בירושה היחידה הארגונית המכילה את חשבון המשתמש.

מימוש זה מתואר במאמר Knowledge Base הבאים:

עיבוד לולאה חוזרת של מדיניות קבוצתית

מדיניות המערכת ב- Windows NT 4.0 Terminal Services Edition גם מיושמים באופן שונה מאשר בשרתי Windows NT אחרים, כפי שמתואר במאמר Knowledge Base הבאים:

כיצד להחיל מדיניות מערכת שרת מסוף

כאשר הדבר אפשרי, שירותי מסופים יש להתקין בשרתים עמיתים במקום בבקרי קבוצות מחשבים מכיוון המשתמשים צריכים זכויות משתמש להיכנס למערכת באופן מקומי . כאשר כניסה מקומית ימינה מוקצית בקרי קבוצות מחשבים, הוא מוקצה לכל בקר קבוצת מחשבים בקבוצת המחשבים עקב מסד נתונים משותף של Active Directory. כברירת מחדל, שרתים עמיתים מוענקות זכויות משתמש כניסה מקומית במדיניות האבטחה המקומית בעת התקנת שירותי מסוף במצב שרת יישומים.


לקבלת מידע נוסף אודות יומן הרישום על זכויות באופן מקומי, לחץ על מספרי המאמרים הבאים כדי להציג את המאמרים מתוך מאגר הידע Microsoft Knowledge Base:

בקרי קבוצות מחשבים מצריכים את אובייקט המדיניות הקבוצתית 'כניסה מקומית' עבור חיבורי לקוח שירותי מסוף

הקצאת כניסה באופן מקומי זכויות לבקר תחום של Windows 2000
מהדורת שירותי מסוף של Windows NT 4.0 יש בעייתי זהה עם יומן רישום על זכויות באופן מקומי על בקרי תחום עקב מסד הנתונים של מנהל חשבונות האבטחה (SAM) נפוצות משוכפל מתוך בקר קבוצת המחשבים הראשי (PDC) לכל בקרי קבוצות המחשבים הגיבוי.



לקבלת מידע נוסף, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

מדיניות מקומית אינה מאפשרת לך להיכנס למערכת באופן אינטראקטיבי



מאפייני האבטחה של ה-GPO שנוצרת עבור הלולאה יש להוסיף את חשבון המחשב של שרת מסופים. לשם כך, בצע את הפעולות הבאות:

  1. בחר את ה-GPO שנוצר עבור לולאה חוזרת ולאחר מכן לחץ על מאפיינים.

  2. לחץ על הכרטיסיה אבטחה ולאחר מכן לחץ על הוסף.

  3. בתיבה בחירת משתמשים, מחשבים או קבוצות , בחר את חשבון המחשב ולאחר מכן לחץ על אישור.

  4. לחץ על חשבון מחשב בתיבה שמות קבוצות או משתמשים .

  5. בתיבה הרשאות עבור שם המחשב , לחץ כדי לסמן את תיבות הסימון לקריאהוהחל מדיניות קבוצתית בעמודה אפשר .

  6. לחץ פעמיים על אישור כדי לסגור ולשמור את הגדרות המדיניות.

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×