Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để áp dụng đối tượng chính sách nhóm cho máy chủ dịch vụ đầu cuối

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:260370
TÓM TẮT
Các máy chủ Microsoft Windows Server 2003 Terminal Services vàMicrosoft Windows 2000 Terminal Services máy chủ được cài đặt cho người dùng trong chế độ máy chủ ứng dụng. Khi các máy chủ dịch vụ đầu cuối trong một tên miền Active Directory, các quản trị viên tên miền thực hiện các đối tượng chính sách nhóm (GPOs) đến máy chủ dịch vụ đầu cuối để kiểm soát môi trường người dùng. Bài viết này mô tả quá trình được đề nghị áp dụng GPOs cho dịch vụ đầu cuối mà không có bất lợi ảnh hưởng đến các máy chủ khác trên mạng.
THÔNG TIN THÊM
Có hai phương pháp cho việc áp dụng GPOs để dịch vụ đầu cuối mà không có bất lợi ảnh hưởng đến các máy chủ khác trên mạng.

Phương pháp 1

Đưa máy tính Terminal Server vào đơn vị tổ chức riêng của họ (OU). Cấu hình này cho phép cài đặt cấu hình máy tính có liên quan để được đặt trong GPOs mà chỉ áp dụng cho Terminal Server máy tính. Cấu hình này không ảnh hưởng đến kinh nghiệm người dùng trên máy trạm hay trên các máy chủ khác và cho phép bạn tạo ra một kinh nghiệm Terminal Server kiểm soát chặt chẽ đối với người dùng. OU này không nên chứa người dùng hay máy tính khác để các quản trị viên tên miền có thể tinh chỉnh kinh nghiệm dịch vụ đầu cuối. OU cũng có thể được giao cho điều khiển để dưới các nhóm như các nước sử dụng máy chủ hoặc người dùng cá nhân.

Để tạo một OU mới cho các máy chủ dịch vụ đầu cuối, hãy làm theo các bước sau:
  1. Nhấp vào Bắt đầu, điểm đến Chương trình, điểm đến Công cụ quản trị, và sau đó nhấp vào Hoạt động thư mục người dùng và máy tính.
  2. Mở rộng ngăn bên trái.
  3. Nhấp vào domainname.xxx.
  4. Trên các Hành động trình đơn, nhấp vào Mới, và sau đó nhấp vào Đơn vị tổ chức.
  5. Trong các Tên hộp, gõ tên cho máy chủ dịch vụ đầu cuối.
  6. Nhấp vào Ok.

    Mới Terminal Services OU bây giờ xuất hiện trong danh sách trong ngăn bên trái và có không có các đối tượng mặc định. Các máy chủ dịch vụ đầu cuối cư trú tại OU máy tính hoặc OU bộ điều khiển tên miền.
  7. Xác định vị trí và sau đó bấm dịch vụ đầu cuối máy chủ hoặc máy chủ, nhấp vào Hành động, và sau đó nhấp vào Di chuyển.
  8. Trong các Di chuyển hộp thoại hộp, bấm mới dịch vụ đầu cuối máy chủ hoặc máy chủ, và sau đó nhấp vào Ok.
  9. Bấm mới Terminal Services OU để xác minh rằng di chuyển thành công đã xảy ra.
Để tạo một đối tượng chính sách nhóm dịch vụ thiết bị đầu cuối, hãy làm theo các bước sau:
  1. Bấm mới Terminal Services OU.
  2. Trên các Hành động trình đơn, nhấp vào Thuộc tính.
  3. Bấm vào các Chính sách Nhóm tab.
  4. Nhấp vào Mới tạo đối tượng chính sách nhóm mới.
  5. Nhấp vào Chỉnh sửa để chỉnh sửa chính sách nhóm.

    LƯU Ý: Hầu hết các thiết đặt có liên quan là dưới Cấu hình máy tính, Thiết đặt bảo mật, hoặc Chính sách địa phương. Ví dụ, dưới Chuyển nhượng quyền sử dụng trong danh sách bên phải, bạn tìm thấy Đăng nhập tại địa phương. Thiết lập này là cần thiết để đăng nhập vào một phiên họp ngày dịch vụ đầu cuối. Bạn cũng tìm thấy Truy cập vào máy tính này từ mạng. Thiết đặt này được yêu cầu để kết nối với máy chủ bên ngoài một phiên dịch vụ đầu cuối. Đây cũng là nơi bạn có thể ngăn chặn người dùng từ việc có thể để tắt hệ thống. Các thư mục tùy chọn bảo mật là nơi nhiều người trong số các hạn chế nên được thực hiện trong trường hợp không có thiết đặt tương tự vào NTConfig.pol tập tin trong Windows NT 4.0 Server và Terminal Server Edition. Thiết đặt cho phần người sử dụng của chính sách nên không được áp dụng ở đây bởi vì những người dùng đã không được đưa vào OU này với các máy chủ dịch vụ đầu cuối. Bài viết này được viết cho máy tính thực hiện chính sách.
  6. Khi sửa đổi được hoàn tất, đóng nhóm chính sách biên soạn, và sau đó nhấp vào Đóng để đóng OU Properties.

Phương pháp 2

Sử dụng tính năng loopback chính sách nhóm để áp dụng thiết đặt người dùng cấu hình GPO để người dùng chỉ khi họ đăng nhập vào hệ phục vụ đầu cuối. Khi xử lý GPO Loopback được kích hoạt cho các máy tính trong một OU có chứa chỉ hệ phục vụ đầu cuối, những máy tính áp dụng các cài đặt cấu hình người dùng từ các thiết lập của GPOs áp dụng cho rằng OU. Ngoài ra, những máy tính áp dụng các cài đặt cấu hình người dùng từ GPOs được liên kết với hoặc được thừa kế bởi OU có chứa trương mục của người dùng.

Thực hiện này được mô tả trong bài viết cơ sở kiến thức sau:
231287 Xử lý vòng-ngược của chính sách nhóm
Chính sách hệ thống trong Windows NT 4.0 Terminal Services Edition cũng thực hiện một cách khác nhau hơn trên các máy chủ Windows NT khác, như mô tả trong bài viết cơ sở kiến thức sau:
192794 Làm thế nào để áp dụng chính sách hệ phục vụ đầu cuối
Khi có thể, dịch vụ đầu cuối nên được cài đặt trên máy chủ thành viên thay vì trên bộ điều khiển vùng vì những người sử dụng cần Đăng nhập tại địa phương quyền của người dùng. Khi các Đăng nhập tại địa phương quyền được gán cho bộ điều khiển vùng, nó được gán cho mỗi bộ kiểm soát miền trong miền vì của cơ sở dữ liệu Active Directory được chia sẻ. Theo mặc định, các máy chủ thành viên được cấp Đăng nhập tại địa phương quyền người dùng trong chính sách bảo mật cục bộ khi dịch vụ đầu cuối được cài đặt trong chế độ máy chủ ứng dụng.

Để thêm thông tin về đăng nhập về địa phương quyền, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
247989Bộ điều khiển vùng yêu cầu các đối tượng chính sách nhóm "cục đăng nhập vào bộ" cho các kết nối khách hàng dịch vụ đầu cuối
234237 Gán Log On tại địa phương quyền kiểm soát miền Windows 2000
Windows NT 4.0 Terminal Services Edition có mối quan tâm tương tự với đăng nhập vào ở địa phương có quyền đối với bộ điều khiển vùng vì của cơ sở dữ liệu bảo mật tài khoản quản lý (SAM) phổ biến nhân rộng từ bộ điều khiển tên miền chính (PDC) để tất cả các bộ điều khiển vùng sao lưu.

Để biết thêm thông tin, bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
186529Chính sách Cục bộ không cho phép bạn đăng nhập tương tác


Trương mục máy tính của máy chủ đầu cuối nên được thêm vào các thuộc tính bảo mật của GPO đang được tạo ra cho loopback. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Chọn GPO được tạo ra cho loopback, và sau đó nhấp vào Thuộc tính.
  2. Bấm vào các Bảo mật tab, và sau đó bấm Thêm.
  3. Trong các Chọn người dùng, máy tính, hoặc các nhóm hộp, chọn trương mục máy tính, và sau đó nhấp vào Ok.
  4. Nhấp vào tài khoản máy tính từ các Tên người dùng hoặc nhóm hộp.
  5. Trong các Cấp phép cho tên máy tính hộp, nhấn vào đây để chọn các ĐọcÁp dụng chính sách nhóm kiểm tra hộp trong các Cho phép cột.
  6. Nhấp vào Ok hai lần để đóng và lưu các thiết đặt chính sách.

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 260370 - Xem lại Lần cuối: 08/21/2011 10:56:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbwinservperf kbenv kbhowto kbinfo kbtermserv kbmt KB260370 KbMtvi
Phản hồi
>