Применение объектов групповая политика к серверам служб терминалов

В этой статье описывается применение объектов групповая политика к серверам служб терминалов.

Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 260370

Сводка

Серверы служб терминалов Microsoft Windows Server 2003 и серверы служб терминалов Microsoft Windows 2000 устанавливаются для пользователей в режиме сервера приложений. Когда серверы служб терминалов находятся в домене Active Directory, администратор домена реализует групповая политика объектов (GPO) на сервер служб терминалов для управления пользовательской средой. В этой статье описывается рекомендуемый процесс применения объектов групповой политики к службам терминалов без негативного влияния на другие серверы в сети.

Дополнительная информация

Существует два метода применения объектов групповой политики к службам терминалов без негативного влияния на другие серверы в сети.

Способ 1

Поместите компьютеры сервера терминалов в свое подразделение. Эта конфигурация позволяет помещать соответствующие параметры конфигурации компьютера в объекты групповой политики, которые применяются только к компьютерам сервера терминалов. Эта конфигурация не влияет на взаимодействие с пользователем на рабочих станциях или других серверах и позволяет создать строго контролируемый интерфейс сервера терминалов для пользователей. Это подразделение не должно содержать пользователей или другие компьютеры, чтобы администраторы домена могли точно настроить интерфейс служб терминалов. Подразделение также может быть делегировано для управления подчиненным группам, таким как операторы сервера или отдельные пользователи.

Чтобы создать новое подразделение для серверов служб терминалов, выполните следующие действия.

1. Нажмите кнопку Пуск, наведите указатель на пункт Программы, Администрирование, а затем Пользователи и компьютеры Active Directory.

2. Разверните левую область.

3. Выберите domainname.xxx.

4. В меню Действие выберите пункт Создать, а затем — Подразделение.

5. В поле Имя введите имя сервера служб терминалов.

6. Нажмите кнопку ОК.

   Новое подразделение служб терминалов теперь отображается в списке на левой панели и не содержит объектов по умолчанию. Серверы служб терминалов находятся в подразделении "Компьютеры" или в подразделении "Контроллеры домена".

7. Найдите и щелкните сервер служб терминалов или серверы, щелкните Действие, а затем — Переместить.

8. В диалоговом окне Перемещение щелкните новый сервер или серверы служб терминалов и нажмите кнопку ОК.

9. Щелкните новое подразделение служб терминалов, чтобы убедиться, что перемещение выполнено успешно.

Чтобы создать объект групповая политика служб терминалов, выполните следующие действия.

1. Щелкните новое подразделение служб терминалов.

2. В меню Действие выберите пункт Свойства.

3. Перейдите на вкладку групповая политика.

4. Нажмите кнопку Создать, чтобы создать объект New групповая политика.

5. Нажмите кнопку Изменить, чтобы изменить групповая политика.

   Примечание.

   Большинство соответствующих параметров находятся в разделе Конфигурация компьютера, Параметры безопасности или Локальные политики. Например, в разделе Назначение прав пользователя в списке справа вы найдете Вход локально. Этот параметр необходим для входа в сеанс в службах терминалов. Вы также найдете Доступ к этому компьютеру из сети. Этот параметр необходим для подключения к серверу за пределами сеанса служб терминалов. Это также позволяет запретить пользователям завершить работу системы. Папка "Параметры безопасности" — это место, в котором должны быть установлены многие ограничения и параметры, аналогичные файлу NTConfig.pol в выпуске Windows NT server 4.0 и terminal Server Edition. Здесь не следует применять параметры для пользовательской части политики, так как пользователи не были помещены в это подразделение с сервером служб терминалов. Эта статья посвящена реализации политики компьютера.

6. После внесения изменений закройте редактор групповая политика, а затем нажмите кнопку Закрыть, чтобы закрыть свойства подразделения.

Способ 2

Используйте функцию групповая политика замыкания на себя, чтобы применить параметры объекта групповой политики конфигурации пользователей только при входе на серверы терминалов. Если для компьютеров в подразделении, содержающем только серверы терминалов, включена обработка замыкания GPO, эти компьютеры применяют параметры конфигурации пользователей из набора объектов групповой политики, которые применяются к такому подразделению. Кроме того, эти компьютеры применяют параметры конфигурации пользователей из объектов групповой политики, которые связаны или наследуются подразделением, содержащим учетную запись пользователя.

Эта реализация описана в следующей статье базы знаний:
231287 обработка групповая политика с замыканиями на себя

По возможности службы терминалов следует устанавливать на рядовых серверах, а не на контроллерах домена, так как пользователям требуются права локального входа. Если право "Локальный вход" назначается контроллерам домена, оно назначается каждому контроллеру домена в домене из-за общей базы данных Active Directory. По умолчанию рядовые серверы получают права локального входа в локальную политику безопасности при установке служб терминалов в режиме сервера приложений.

Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

186529 локальная политика не позволяет войти в систему в интерактивном режиме

Учетная запись компьютера сервера терминалов должна быть добавлена в свойства безопасности объекта групповой политики, создаваемого для замыкания на себя. Для этого выполните следующие действия:

1. Выберите объект групповой политики, созданный для замыкания на себя, и нажмите кнопку Свойства.
2. Перейдите на вкладку Безопасность и нажмите кнопку Добавить.
3. В поле Выбор пользователей, компьютеров или групп выберите учетную запись компьютера и нажмите кнопку ОК.
4. Щелкните учетную запись компьютера в поле Имя группы или пользователя .
5. В поле Разрешения для имени компьютера выберите поля Чтение и применение групповая политика проверка в столбце Разрешить.
6. Нажмите кнопку ОК два раза, чтобы закрыть и сохранить параметры политики.

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, мы рекомендуем собирать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для групповая политика проблем.