Jak zastosować obiekty zasady grupy do serwerów usług terminalowych

W tym artykule opisano sposób stosowania obiektów zasady grupy do serwerów usług terminalowych.

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 260370

Podsumowanie

Serwery usług terminalowych systemu Microsoft Windows Server 2003 i Microsoft Windows 2000 Terminal Services są instalowane dla użytkowników w trybie serwera aplikacji. Gdy serwery usług terminalowych znajdują się w domenie usługi Active Directory, administrator domeny implementuje obiekty zasady grupy (GPO) do serwera usług terminalowych w celu kontrolowania środowiska użytkownika. W tym artykule opisano zalecany proces stosowania obiektów zasad grupy do usług terminalowych bez negatywnego wpływu na inne serwery w sieci.

Więcej informacji

Istnieją dwie metody stosowania obiektów zasad grupy do usług terminalowych bez negatywnego wpływu na inne serwery w sieci.

Metoda 1

Umieść komputery serwera terminali we własnej jednostce organizacyjnej (OU). Ta konfiguracja umożliwia umieszczenie odpowiednich ustawień konfiguracji komputera w obiektach zasad grupy, które mają zastosowanie tylko do komputerów z serwerem terminali. Ta konfiguracja nie wpływa na środowisko użytkownika na stacjach roboczych ani na innych serwerach i umożliwia tworzenie ściśle kontrolowanego środowiska serwera terminali dla użytkowników. Ta jednostka organizacyjna nie powinna zawierać użytkowników ani innych komputerów, aby administratorzy domeny mogli dostosować środowisko usług terminalowych. Jednostkę organizacyjną można również delegować w celu kontrolowania grup podrzędnych, takich jak operatory serwera lub poszczególni użytkownicy.

Aby utworzyć nową jednostkę organizacyjną dla serwerów usług terminalowych, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Użytkownicy i komputery usługi Active Directory.

  2. Rozwiń okienko po lewej stronie.

  3. Kliknij przycisk domainname.xxx.

  4. W menu Akcja kliknij pozycję Nowy, a następnie kliknij pozycję Jednostka organizacyjna.

  5. W polu Nazwa wpisz nazwę serwera usług terminalowych.

  6. Kliknij przycisk OK.

    Nowa jednostka organizacyjna usług terminalowych jest teraz wyświetlana na liście w okienku po lewej stronie i nie zawiera żadnych obiektów domyślnych. Serwery usług terminalowych znajdują się w jednostce organizacyjnej komputerów lub w jednostce organizacyjnej kontrolerów domeny.

  7. Znajdź, a następnie kliknij serwer lub serwery usług terminalowych, kliknij pozycję Akcja, a następnie kliknij pozycję Przenieś.

  8. W oknie dialogowym Przenoszenie kliknij nowy serwer lub serwery usług terminalowych, a następnie kliknij przycisk OK.

  9. Kliknij nową jednostkę organizacyjną usług terminalowych, aby sprawdzić, czy przenoszenie zostało pomyślnie wykonane.

Aby utworzyć obiekt zasady grupy usług terminalowych, wykonaj następujące kroki:

  1. Kliknij nową jednostkę organizacyjną usług terminalowych.

  2. W menu Akcja kliknij pozycję Właściwości.

  3. Kliknij kartę zasady grupy.

  4. Kliknij pozycję Nowy, aby utworzyć obiekt New zasady grupy.

  5. Kliknij przycisk Edytuj, aby zmodyfikować zasady grupy.

    Uwaga

    Większość odpowiednich ustawień znajduje się w obszarze Konfiguracja komputera, Ustawienia zabezpieczeń lub Zasady lokalne. Na przykład w obszarze Przypisanie praw użytkownika na liście po prawej stronie znajdziesz pozycję Zaloguj się lokalnie. To ustawienie jest wymagane do logowania się do sesji w usługach terminalowych. Dostęp do tego komputera można również znaleźć w sieci. To ustawienie jest wymagane do nawiązania połączenia z serwerem poza sesją usług terminalowych. Jest to również miejsce, w którym można uniemożliwić użytkownikom zamykanie systemu. Folder Opcje zabezpieczeń to miejsce, w którym należy wprowadzić wiele ograniczeń i gdzie istnieją ustawienia podobne do pliku NTConfig.pol w systemach Windows NT 4.0 Server i Terminal Server Edition. Ustawienia dla części użytkownika zasad nie powinny być stosowane w tym miejscu, ponieważ użytkownicy nie zostali umieszczeni w tej jednostce organizacyjnej z serwerem usług terminalowych. Ten artykuł został napisany na potrzeby implementacji zasad komputera.

  6. Po zakończeniu modyfikacji zamknij edytor zasady grupy, a następnie kliknij przycisk Zamknij, aby zamknąć właściwości jednostki organizacyjnej.

Metoda 2

Użyj funkcji sprzężenia zwrotnego zasady grupy, aby zastosować ustawienia obiektu zasad grupy konfiguracji użytkownika do użytkowników tylko wtedy, gdy logują się na serwerach terminali. Gdy przetwarzanie sprzężenia zwrotnego obiektu zasad grupy jest włączone dla komputerów w jednostce organizacyjnej zawierającej tylko serwery terminali, te komputery stosują ustawienia konfiguracji użytkownika z zestawu obiektów zasad grupy, które mają zastosowanie do tej jednostki organizacyjnej. Ponadto te komputery stosują ustawienia konfiguracji użytkownika z obiektów zasad grupy, które są połączone lub dziedziczone przez jednostkę organizacyjną zawierającą konto użytkownika.

Ta implementacja została opisana w następującym artykule bazy wiedzy:
231287 przetwarzanie sprzężenia zwrotnego zasady grupy

Jeśli jest to możliwe, usługi terminalowe powinny być instalowane na serwerach członkowskich, a nie na kontrolerach domeny, ponieważ użytkownicy muszą logować się lokalnie. Gdy prawo logowania lokalnie jest przypisane do kontrolerów domeny, jest przypisywane do każdego kontrolera domeny w domenie ze względu na udostępnioną bazę danych usługi Active Directory. Domyślnie serwerom członkowskim są przyznawane prawa logowania użytkowników lokalnych w zasadach zabezpieczeń lokalnych, gdy usługi terminalowe są zainstalowane w trybie serwera aplikacji.

Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

186529 zasady lokalne nie zezwalają na interaktywne logowanie

Konto komputera serwera terminalu powinno zostać dodane do właściwości zabezpieczeń obiektu zasad grupy tworzonych dla sprzężenia zwrotnego. Aby tego dokonać, wykonaj następujące kroki:

  1. Wybierz obiekt zasad grupy utworzony dla sprzężenia zwrotnego, a następnie kliknij pozycję Właściwości.
  2. Kliknij kartę Zabezpieczenia , a następnie kliknij pozycję Dodaj.
  3. W polu Wybieranie użytkowników, komputerów lub grup wybierz konto komputera, a następnie kliknij przycisk OK.
  4. Kliknij konto komputera w polu Grupy lub nazwy użytkowników .
  5. W polu Uprawnienia dla nazwy komputera kliknij, aby zaznaczyć pola wyboru Odczyt i stosowanie zasady grupy w kolumnie Zezwalaj.
  6. Kliknij przycisk OK dwa razy, aby zamknąć i zapisać ustawienia zasad.

Zbieranie danych

Jeśli potrzebujesz pomocy ze strony pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki wymienione w temacie Zbieranie informacji przy użyciu usługi TSS w celu zasady grupy problemów.