Jak zastosować obiekty zasad grupy do serwerów usług pulpitu zdalnego

W tym artykule opisano sposób stosowania obiektów zasad grupy do serwerów usług pulpitu zdalnego (RDS).

Dotyczy: wszystkie obsługiwane wersje systemu Windows Server
Oryginalny numer KB: 260370

Podsumowanie

Gdy serwery usług pulpitu zdalnego znajdują się w domenie usługi Active Directory, administrator domeny implementuje obiekty zasad grupy (GPO) na serwerze usług pulpitu zdalnego w celu sterowania środowiskiem użytkownika. W tym artykule opisano zalecany proces stosowania obiektów zasad grupy do usług pulpitu zdalnego bez negatywnego wpływu na inne serwery w sieci.

Istnieją różne podejścia do stosowania obiektów zasad grupy do usług pulpitu zdalnego, w zależności od tego, czy ustawienia są dla komputerów, czy użytkowników.

Ustawienia zasad komputera

Umieść komputery usług pulpitu zdalnego do własnej jednostki organizacyjnej. Ta konfiguracja umożliwia umieszczenie odpowiednich ustawień konfiguracji komputera w obiektach zasad grupy, które mają zastosowanie tylko do komputerów usług pulpitu zdalnego. Ta konfiguracja nie ma wpływu na środowisko użytkownika na stacjach roboczych ani na innych serwerach i umożliwia tworzenie ściśle kontrolowanego środowiska usług pulpitu zdalnego dla użytkowników. Ta jednostka organizacyjna nie powinna zawierać użytkowników ani innych komputerów, aby administratorzy domeny mogli dostosować środowisko usług pulpitu zdalnego. Jednostka organizacyjna może być również delegowana do kontroli do grup podrzędnych, takich jak operatorzy serwerów lub indywidualni użytkownicy.

Rozważ następujące opcje lokalizacji nowej jednostki organizacyjnej:

• Umieść nową jednostki organizacyjnej jako podrzędną jednostki organizacyjnej, w której znajdują się serwery usług pulpitu zdalnego. Gwarantuje to, że bieżące zasady grupy są stosowane tak jak wcześniej. Ta opcja działa najlepiej, gdy większość lub wszystkie konta komputerów serwera usług pulpitu zdalnego znajdują się w tej nadrzędnej jednostki organizacyjnej.
• Alternatywnie, jeśli lepiej pasuje do modelu administracyjnego, utwórz nową jednostkę organizacyjną jako jednostkę organizacyjną równorzędną bieżącej jednostki organizacyjnej, która zawiera większość lub wszystkie obiekty komputera serwera usług pulpitu zdalnego. W takim przypadku należy również połączyć wszystkie zasady istniejących jednostek organizacyjnych z nową jednostką organizacyjną.

Aby uzyskać więcej informacji, zobacz Łączenie obiektów zasad grupy z kontenerami usługi Active Directory.

Aby utworzyć nową jednostkę organizacyjną dla serwerów usług pulpitu zdalnego, wykonaj następujące kroki:

1. Zaloguj się do kontrolera domeny (DC) lub maszyny z zainstalowanymi narzędziami administracji zdalnej serwera (RSAT).
2. Otwórz menu Start i wprowadź Użytkownicy i komputery usługi Active Directory. Wybierz Użytkownicy i komputery usługi Active Directory, aby go otworzyć.
3. W konsoli Użytkownicy i komputery usługi Active Directory przejdź do domeny lub kontenera, w którym chcesz utworzyć nową jednostkę organizacyjną.
4. Kliknij prawym przyciskiem myszy domenę lub kontener. Wybierz pozycję Nowa>jednostka organizacyjna.
5. W oknie dialogowym Nowy obiekt — jednostka organizacyjna wprowadź serwery usług pulpitu zdalnego jako nazwę nowej jednostki organizacyjnej.
6. Wybierz przycisk OK , aby utworzyć jednostkę organizacyjną.

Aby utworzyć obiekt zasad grupy usług pulpitu zdalnego, wykonaj następujące kroki:

1. Otwórz menu Start i wprowadź pozycję Zarządzanie zasadami grupy. Wybierz pozycję Zarządzanie zasadami grupy, aby go otworzyć.
2. W konsoli zarządzania zasadami grupy przejdź do domeny.
3. Kliknij prawym przyciskiem myszy kontener Obiektów zasad grupy i wybierz pozycję Nowy.
4. Wprowadź nazwę nowego obiektu zasad grupy, na przykład zasady usług pulpitu zdalnego.
5. Wybierz przycisk OK , aby utworzyć obiekt zasad grupy.
6. Kliknij prawym przyciskiem myszy nowo utworzony obiekt zasad grupy i wybierz polecenie Edytuj , aby otworzyć Edytor zarządzania zasadami grupy, w którym można skonfigurować ustawienia zasad zgodnie z potrzebami.
7. W konsoli zarządzania zasadami grupy przejdź do jednostki organizacyjnej serwerów usług pulpitu zdalnego.
8. Kliknij prawym przyciskiem myszy jednostkę organizacyjną serwerów usług pulpitu zdalnego i wybierz pozycję Połącz istniejący obiekt zasad grupy.
9. W oknie dialogowym Wybieranie obiektu zasad grupy wybierz pozycję Zasady usług pulpitu zdalnego z listy.
10. Wybierz przycisk OK , aby połączyć obiekt zasad grupy z jednostką organizacyjną.

Uwaga 16.

Większość odpowiednich ustawień jest w obszarze Konfiguracja>komputera Ustawienia zabezpieczeń Ustawienia>systemu Windows Zasady>lokalne. Na przykład w obszarze Przypisywanie praw użytkownika na liście po prawej stronie znajdziesz pozycję Zaloguj się lokalnie. To ustawienie jest wymagane do zalogowania się do sesji w usługach pulpitu zdalnego. Możesz również znaleźć dostęp do tego komputera z sieci. To ustawienie jest wymagane do nawiązania połączenia z serwerem poza sesją usług pulpitu zdalnego. Jest to również miejsce, w którym można uniemożliwić użytkownikom zamykanie systemu. Ustawienia części zasad użytkownika nie powinny być stosowane tutaj, ponieważ użytkownicy nie zostali wprowadzeni do tej jednostki organizacyjnej z serwerem usług pulpitu zdalnego. Ten artykuł jest napisany na potrzeby implementacji zasad komputera.
Po zakończeniu modyfikacji zamknij Edytor zarządzania zasadami grupy, a następnie wybierz pozycję Zamknij , aby zamknąć właściwości jednostki organizacyjnej.

Ustawienia zasad użytkownika

Użyj funkcji sprzężenia zwrotnego zasad grupy, aby zastosować ustawienia obiektu zasad grupy konfiguracji użytkownika do użytkowników tylko wtedy, gdy logują się do serwerów usług pulpitu zdalnego. Gdy przetwarzanie sprzężenia zwrotnego obiektu zasad grupy jest włączone dla komputerów w jednostki organizacyjnej zawierającej tylko serwery usług pulpitu zdalnego, te komputery stosują ustawienia obiektu zasad grupy konfiguracji użytkownika z zestawu obiektów zasad grupy, które mają zastosowanie do tej jednostki organizacyjnej. Jeśli używasz ustawienia zasad sprzężenia zwrotnego w trybie scalania, komputer najpierw stosuje ustawienia obiektu zasad grupy konfiguracji użytkownika z obiektów zasad grupy połączonych lub dziedziczone przez jednostki organizacyjne zawierające konto użytkownika, a następnie przetwarzając część zasad komputera użytkownika.

Ta implementacja jest opisana w artykule Przetwarzanie sprzężenia zwrotnego zasad grupy.

Zdecydowanie zalecamy używanie usług pulpitu zdalnego na kontrolerach domeny z następujących powodów:

• Wdrożenie wymagałoby od administratorów innych niż domeny zalogowania się do kontrolerów domeny, co powodowało konflikt z poufnością zabezpieczeń kontrolerów domeny. Tylko administratorzy domeny powinni mieć uprawnienia "Logowanie lokalne" bezpośrednio na kontrolerach domeny.
• Jeśli użytkownicy pracują na kontrolerach domeny jako serwery usług pulpitu zdalnego, luka w zabezpieczeniach podnosząca atakującego do systemu lokalnego natychmiast przyzna atakującemu dostęp do całego lasu.

Aby uzyskać więcej informacji, zobacz Zasady lokalne nie zezwalają na logowanie interakcyjne.

Konto komputera serwera usług pulpitu zdalnego należy dodać do właściwości zabezpieczeń obiektu zasad grupy tworzonego dla sprzężenia zwrotnego. W tym celu wykonaj następujące kroki:

1. Wybierz obiekt zasad grupy utworzony dla sprzężenia zwrotnego, a następnie wybierz pozycję Właściwości.
2. Wybierz kartę Zabezpieczenia , a następnie wybierz pozycję Dodaj.
3. W polu Wybierz użytkowników, komputery lub grupy wybierz konto komputera, a następnie wybierz przycisk OK.
4. Wybierz konto komputera w polu Grupy lub nazwy użytkowników.
5. W polu Uprawnienia dla nazwy komputera zaznacz pola wyboru Odczyt i Zastosuj zasady grupy w kolumnie Zezwalaj.
6. Wybierz przycisk OK dwa razy, aby zamknąć i zapisać ustawienia zasad.

Zbieranie danych

Jeśli potrzebujesz pomocy technicznej firmy Microsoft, zalecamy zebranie informacji, wykonując kroki opisane w temacie Zbieranie informacji przy użyciu TSS w przypadku problemów z zasadami grupy.