Applicazione di oggetti Criteri di gruppo a server di Servizi terminal

Sommario

I server di Servizi terminal di Microsoft Windows Server 2003 e Microsoft Windows 2000 vengono installati per gli utenti in Modalità server applicazioni. Quando i server di Servizi terminal sono inclusi in un dominio di Active Directory, l'amministratore di dominio implementa oggetti Criteri di gruppo nel server per controllare l'ambiente utente. In questo articolo viene illustrato il processo consigliato per l'applicazione di oggetti Criteri di gruppo in Servizi terminal senza influire negativamente sugli altri server della rete.

Informazioni

Sono disponibili due metodi per applicare oggetti Criteri di gruppo in Servizi terminal senza influire negativamente sugli altri server della rete.

Metodo 1

Inserire i computer Terminal Server nelle rispettive unità organizzative. Questa configurazione consente di inserire impostazioni di configurazione pertinenti in oggetti Criteri di gruppo validi solo per i computer Terminal Server senza influire sul funzionamento di workstation o di altri server. Consente inoltre di creare un ambiente maggiormente controllato per gli utenti di Terminal Server. L'unità organizzativa non deve contenere utenti o altri computer in modo che gli amministratori del dominio possano ottimizzare l'utilizzo di Servizi terminal. È inoltre possibile delegare il controllo dell'unità organizzativa a gruppi subordinati, quali operatori del server o singoli utenti.

Per creare una nuova unità organizzativa per server di Servizi terminal, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.
  2. Espandere il riquadro di sinistra.
  3. Fare clic su
    nomedominio.xxx.
  4. Scegliere Nuovo dal menu Azione, quindi scegliere Unità organizzativa.
  5. Nella casella Nome digitare un nome per il server di Servizi terminal.
  6. Scegliere OK.

    La nuova unità organizzativa di Servizi terminal è ora riportata nell'elenco del riquadro di sinistra e non contiene oggetti predefiniti. I server di Servizi terminal risiedono nell'unità organizzativa Computer o Controller di dominio.
  7. Individuare e selezionare il server o i server di Servizi terminal, quindi scegliere Sposta dal menu Azione.
  8. Nella finestra di dialogo Sposta fare clic sul nuovo server o sui nuovi server di Servizi terminal e scegliere OK.
  9. Fare clic sulla nuova unità organizzativa di Servizi terminal per verificare che lo spostamento è stato correttamente eseguito.
Per creare un oggetto Criteri di gruppo di Servizi terminal, attenersi alla seguente procedura:
  1. Fare clic sulla nuova unità organizzativa di Servizi terminal.
  2. Scegliere Proprietà dal menu Azione.
  3. Fare clic sulla scheda Criteri di gruppo.
  4. Fare clic su Nuovo per creare il nuovo oggetto Criteri di gruppo.
  5. Fare clic su Modifica per modificare i criteri di gruppo.

    NOTA: la maggior parte delle impostazioni pertinenti è reperibile in Configurazione computer, Impostazioni protezione o Criteri locali. Nell'elenco a destra in Assegnazione diritti utente è ad esempio disponibile l'impostazione Accesso locale, necessaria per l'accesso a una sessione in Servizi terminal. È inoltre disponibile l'impostazione Accedi dalla rete al computer specificato, necessaria per connettersi al server dall'esterno di una sessione di Servizi terminal. È inoltre possibile utilizzare questo elenco per impedire agli utenti di arrestare il sistema. La cartella Opzioni di protezione, in cui è possibile specificare molte limitazioni, include impostazioni simili a quelle del file NTConfig.pol disponibile in Windows NT 4.0 Server e Terminal Server Edition. Le impostazioni relative alla parte utente dei criteri non devono essere applicate perché gli utenti non sono stati inseriti in questa unità organizzativa con il server di Servizi terminal. Scopo dell'articolo è consentire l'implementazione di criteri computer.
  6. Dopo aver apportato le modifiche, chiudere l'Editor criteri di gruppo, quindi fare clic su Chiudi per chiudere le proprietà dell'unità organizzativa.

Metodo 2

Utilizzare la funzionalità di loopback dei Criteri di gruppo per applicare le impostazioni dell'oggetto Criteri di gruppo Configurazione utente agli utenti solo quando accedono a server terminal. Quando l'elaborazione loopback degli oggetti Criteri di gruppo è attivata per i computer di un'unità organizzativa che contiene solo server terminal, per tali computer saranno valide le impostazioni di Configurazione utente incluse nell'insieme di oggetti Criteri di gruppo validi per l'unità organizzativa. Per tali computer saranno inoltre valide le impostazioni di Configurazione utente incluse negli oggetti Criteri di gruppo collegati o ereditati dall'unità organizzativa che contiene l'account dell'utente.

Questa implementazione è descritta nel seguente articolo della Microsoft Knowledge Base:
231287 Elaborazione loopback di criteri di gruppo

Anche i criteri di sistema di Windows NT 4.0 Terminal Server Edition vengono implementati in modo diverso rispetto ad altri server Windows NT, come descritto nel seguente articolo della Microsoft Knowledge Base:
192794 Applicazione di criteri di sistema in Terminal Server

Quando possibile, è opportuno installare Servizi terminal su server membri anziché controller di dominio, poiché gli utenti necessitano dei diritti Accesso locale. Se assegnato a controller di dominio, infatti, il diritto Accesso locale viene assegnato a tutti i controller del dominio in virtù della condivisione del database di Active Directory. Per impostazione predefinita, ai server membri vengono concessi i diritti utente Accesso locale nei Criteri di protezione locali quando Servizi terminal è installato in modalità server applicazioni.

Per ulteriori informazioni sui diritti Accesso locale, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
247989 I controller di dominio richiedono l'oggetto Criteri di gruppo "Accesso locale" per le connessioni del client di Servizi terminal

234237 Assegnazione dei diritti Accesso locale al controller di dominio Windows 2000
Il problema relativo all'assegnazione dei diritti Accesso locale ai controller di dominio riguarda anche Windows NT 4.0 Terminal Server Edition in virtù della replica del database comune di Gestione account di protezione (SAM) dal controller di dominio primario (PDC) a tutti i controller di dominio di backup.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
186529 Impossibile accedere in modo interattivo per la presenza di criteri locali



È necessario aggiungere l'account computer del server terminal alle proprietà di protezione dell'oggetto Criteri di gruppo creato per il loopback. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Selezionare l'oggetto Criteri di gruppo creato per il loopback, quindi fare clic su Proprietà.
  2. Fare clic sulla scheda Protezione, quindi scegliere Aggiungi.
  3. Nella casella Selezione utenti, computer o gruppi, selezionare l'account computer, quindi scegliere
    OK.
  4. Fare clic sull'account computer nella casella
    Utenti e gruppi.
  5. Nella casella Autorizzazioni per nome computer selezionare le caselle di controllo
    Lettura e Applica criteri di gruppo nella colonna Consenti.
  6. Scegliere OK due volte per chiudere e salvare le impostazioni relative ai criteri.
Proprietà

ID articolo: 260370 - Ultima revisione: 13 gen 2008 - Revisione: 1

Feedback