Jak stosować obiekty zasad grupy do serwerów usług terminalowych

Streszczenie

Serwery Microsoft Windows Server 2003 Terminal Services oraz serwery Microsoft Windows 2000 Terminal Services są instalowane dla użytkowników w trybie serwera aplikacji. Gdy serwery usług terminalowych znajdują się w domenie Active Directory, administrator domeny implementuje obiekty zasad grupy (GPO) do serwera usług terminalowych, aby sterować środowiskiem użytkowników. W tym artykule opisano zalecany proces stosowania obiektów GPO do usług terminalowych bez ujemnego wpływu na inne serwery w sieci.

Więcej informacji

Istnieją dwie metody stosowania obiektów GPO do usług terminalowych bez ujemnego wpływu na inne serwery w sieci.

Metoda 1

Umieść komputery serwerów terminalowych w swojej własnej jednostce organizacyjnej (OU). Taka konfiguracja umożliwia umieszczenie ustawień konfiguracyjnych odpowiedniego komputera w obiektach GPO, które stosują się tylko do komputerów serwerów terminalowych. Taka konfiguracja nie wpływa na sposób użytkowania stacji roboczych lub innych serwerów i pozwala ściśle kontrolować sposób użytkowania usług terminalowych. Ta jednostka organizacyjna nie zawiera użytkowników ani innych komputerów, więc administratorzy domeny mogą dostosowywać sposób użytkowania usług terminalowych. Jednostka organizacyjna może także przejąć kontrolę w celu podporządkowania grup, takich jak operatorzy serwerów lub użytkownicy indywidualni.

Aby utworzyć nową jednostkę organizacyjną dla serwerów usług terminalowych, wykonaj następujące kroki:
 1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
 2. Rozwiń lewe okienko.
 3. Kliknij pozycję nazwa_domeny.xxx.
 4. W menu Akcja kliknij polecenie Nowy, a następnie kliknij polecenie Jednostka organizacyjna.
 5. W polu Nazwa wpisz nazwę serwera usług terminalowych.
 6. Kliknij przycisk OK.

  Nowa jednostka administracyjna usług terminalowych pojawi się na liście w lewym okienku i nie będzie zawierała żadnych domyślnych obiektów. Serwery usług terminalowych są umieszczone w jednostce organizacyjnej Komputery albo Kontrolery domeny.
 7. Zlokalizuj, a następnie kliknij serwer lub serwery usług terminalowych, kliknij menu Akcja i kliknij polecenie Przenieś.
 8. W oknie dialogowym Przenieś kliknij nowy serwer lub serwery usług terminalowych, a następnie kliknij przycisk OK.
 9. Kliknij nową jednostkę organizacyjną usług terminalowych, aby sprawdzić, że przesunięcie zostało pomyślnie wykonane.
Aby utworzyć obiekt zasad grupy usług terminalowych, wykonaj następujące kroki:
 1. Kliknij nową jednostkę organizacyjną usług terminalowych.
 2. W menu Akcja kliknij polecenie Właściwości.
 3. Kliknij kartę Zasady grupy.
 4. Kliknij przycisk Nowa, aby utworzyć nowy obiekt zasad grupy.
 5. Kliknij przycisk Edytuj, aby zmodyfikować zasady grupy.

  UWAGA: Większość odpowiednich ustawień znajduje się w obszarach Konfiguracja komputera, Ustawienia zabezpieczeń lub Zasady lokalne. Na przykład w obszarze Przypisywanie praw użytkownika, na liście po prawej stronie znajduje się ustawienie Logowanie lokalne. To ustawienie jest wymagane do logowania się do sesji usług terminalowych. Znajduje się tam też ustawienie Uzyskiwanie dostęp do tego komputera z sieci. To ustawienie jest wymagane do łączenia się z serwerem spoza sesji usług terminalowych. Jest to też miejsce, gdzie można uniemożliwić użytkownikom zamykanie systemu. Folder Opcje zabezpieczeń to folder, gdzie należy wprowadzać wiele ograniczeń i gdzie znajdują się ustawienia podobne do ustawień w pliku NTConfig.pol w systemie Windows NT 4.0 Server and Terminal Server Edition. Ustawienia niektórych zasad dotyczących użytkownika nie powinny być tu stosowane, ponieważ użytkownicy nie są umieszczeni w tej jednostce organizacyjnej z serwerem usług terminalowych. Ten artykuł jest napisany w celu zaimplementowania zasad komputerowych.
 6. Po zakończeniu modyfikacji zamknij edytor zasad grupy, a następnie kliknij przycisk Zamknij, aby zamknąć okno właściwości jednostki organizacyjnej.

Metoda 2

Użyj funkcji sprzężenia zwrotnego zasad grupy, aby zastosować ustawienia obiektu GPO konfiguracji użytkownika do użytkowników tylko wtedy, gdy logują się do serwerów terminalowych. Gdy jest włączone przetwarzanie sprzężenia zwrotnego GPO dla komputerów w jednostce organizacyjnej, która zawiera jedynie serwery terminalowe, komputery te stosują ustawienia konfiguracji użytkownika ze zbioru obiektów GPO, które stosują się do tej jednostki organizacyjnej. Dodatkowo te komputery stosują ustawienia konfiguracji użytkownika z obiektów GPO, które są połączone lub dziedziczone przez jednostkę organizacyjną zawierającą konto użytkownika.

Ta implementacja jest opisana w następującym artykule z bazy wiedzy Knowledge Base:
231287 Loopback processing of Group Policy

Zasady systemowe w systemie Windows NT 4.0 Terminal Services Edition są także implementowane inaczej niż na innych serwerach Windows NT, tak jak to opisano w następującym artykule bazy wiedzy Knowledge Base:
192794 Jak stosować zasady systemowe na serwerze terminali

Gdy jest to możliwe, usługi terminalowe powinny być instalowane na serwerach członkowskich, a nie na kontrolerach domeny, ponieważ użytkownicy potrzebują praw użytkownika Logowanie lokalne. Gdy prawo Logowanie lokalne jest przypisane do kontrolerów domeny, jest przypisane do każdego kontrolera w domenie, ponieważ baza danych Active Directory jest współużytkowana. Domyślnie serwery członkowskie mają przydzielone prawa użytkownika Logowanie lokalne w Zasadach zabezpieczeń lokalnych, gdy usługi terminalowe są zainstalowane w trybie serwera aplikacji.


Aby uzyskać dodatkowe informacje o prawach logowania lokalnego, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

247989 Domain controllers require the "Log on Locally" Group Policy object for Terminal Services client connections

234237 Assign Log On locally Rights to Windows 2000 Domain Controller
W systemie Windows NT 4.0 Terminal Services Edition występuje ten sam problem dotyczący praw do logowania lokalnego do kontrolerów domeny z powodu wspólnej bazy danych SAM (Security Accounts Manager), replikowanej z podstawowego kontrolera domeny na wszystkie zapasowe kontrolery domeny.Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

186529 Zasady lokalne nie pozwalają na logowanie się interaktywneKonto komputera na serwerze terminalowym powinno być dodane do właściwości zabezpieczeń obiektu GPO tworzonego do sprzężenia zwrotnego. Aby to zrobić, wykonaj następujące kroki:
 1. Zaznacz obiekt GPO utworzony do sprzężenia zwrotnego, a następnie kliknij polecenie Właściwości.
 2. Kliknij kartę Zabezpieczenia, a następnie kliknij przycisk Dodaj.
 3. W oknie dialogowym Wybieranie: Użytkownicy, 
Komputery lub Grupy zaznacz konto komputera, a następnie kliknij przycisk OK.
 4. Kliknij konto komputera w polu Nazwy grupy lub użytkownika.
 5. W polu Uprawnienia dla nazwa komputera kliknij, aby zaznaczyć pola wyboru Odczyt i Stosowanie zasad grupy w kolumnie Zezwalaj.
 6. Kliknij przycisk OK dwa razy, aby zamknąć i zapisać ustawienia zasad.
Właściwości

Identyfikator artykułu: 260370 — ostatni przegląd: 16.01.2008 — zmiana: 1

Opinia