策略 CSP - RemoteDesktopServices
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
重要提示
此云解决方案提供商包含一些正在开发中的设置,仅适用于 Windows Insider Preview 版本。 这些设置可能会发生更改,并且可能依赖于预览版中的其他功能或服务。
AllowUsersToConnectRemotely
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
此策略设置允许使用远程桌面服务配置对计算机的远程访问。
如果启用此策略设置,则属于目标计算机上的远程桌面用户组成员的用户可以使用远程桌面服务远程连接到目标计算机。
如果禁用此策略设置,则用户无法使用远程桌面服务远程连接到目标计算机。 目标计算机将保留任何当前连接,但不接受任何新的传入连接。
如果未配置此策略设置,远程桌面服务将使用目标计算机上的远程桌面设置来确定是否允许远程连接。 此设置位于“系统属性”表中的“远程”选项卡上。 默认情况下,不允许远程连接。
注意
可以通过配置计算机配置\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\安全性\要求使用网络级别身份验证对远程连接进行用户身份验证的策略设置来限制哪些客户端可以使用远程桌面服务进行远程连接。
可以通过在“计算机配置\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\Connections\限制连接数”中配置策略设置,或者通过使用远程桌面会话主机 WMI 提供程序配置策略设置“最大Connections”来限制可以同时连接的用户数。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | TS_DISABLE_CONNECTIONS |
| 友好名称 | 允许用户使用远程桌面服务进行远程连接 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件>远程桌面服务>远程桌面会话主机>Connections |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| ADMX 文件名 | TerminalServer.admx |
ClientConnectionEncryptionLevel
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/ClientConnectionEncryptionLevel
指定在远程桌面协议 (RDP) 连接期间是否要求使用特定加密级别来保护客户端计算机与 RD 会话主机服务器之间的通信。 此策略仅在使用本机 RDP 加密时适用。 但是,不建议使用本机 RDP 加密 (而不是 SSL 加密) 。 此策略不适用于 SSL 加密。
- 如果启用此策略设置,则远程连接期间客户端和 RD 会话主机服务器之间的所有通信必须使用此设置中指定的加密方法。 默认情况下,加密级别设置为“高”。 以下加密方法可用:
高:“高”设置使用强 128 位加密对从客户端发送到服务器以及从服务器发送到客户端的数据进行加密。 在仅包含 128 位客户端的环境中使用此加密级别 (例如,运行远程桌面连接) 的客户端。 不支持此加密级别的客户端无法连接到 RD 会话主机服务器。
客户端兼容:客户端兼容设置以客户端支持的最大密钥强度加密客户端和服务器之间发送的数据。 在包含不支持 128 位加密的客户端的环境中使用此加密级别。
低:低设置仅使用 56 位加密对从客户端发送到服务器的数据进行加密。
- 如果禁用或未配置此设置,则不会通过组策略强制执行用于与 RD 会话主机服务器的远程连接的加密级别。
重要事项。
可以通过系统加密配置 FIPS 符合性。 在计算机配置\Windows 设置\安全设置\安全设置\本地策略\安全选项) 下的组策略 (中使用符合 FIPS 的算法进行加密、哈希和签名设置。 FIPS 兼容设置使用 Microsoft 加密模块,使用联邦信息处理标准 (FIPS) 140 种加密算法,对从客户端发送到服务器以及从服务器发送到客户端的数据进行加密和解密。 当客户端与 RD 会话主机服务器之间的通信需要最高级别的加密时,请使用此加密级别。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | TS_ENCRYPTION_POLICY |
| 友好名称 | 设置客户端连接加密级别 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 安全性 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| ADMX 文件名 | TerminalServer.admx |
DisconnectOnLockLegacyAuthn
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockLegacyAuthn
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | TS_DISCONNECT_ON_LOCK_POLICY |
| ADMX 文件名 | terminalserver.admx |
DisconnectOnLockMicrosoftIdentityAuthn
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockMicrosoftIdentityAuthn
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | TS_DISCONNECT_ON_LOCK_AAD_POLICY |
| ADMX 文件名 | terminalserver.admx |
DoNotAllowDriveRedirection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowDriveRedirection
此策略设置指定是否阻止远程桌面服务会话中的客户端驱动器映射 (驱动器重定向) 。
默认情况下,RD 会话主机服务器在连接时自动映射客户端驱动器。 映射驱动器以 文件资源管理器 或计算机的格式显示在会话文件夹树中<driveletter><computername>。 可以使用此策略设置来替代此行为。
如果启用此策略设置,则远程桌面服务会话中不允许客户端驱动器重定向,并且不允许在运行 Windows XP、Windows Server 2003、Windows Server 2012 (及更高版本) 或Windows 8 (及更高版本) 的计算机上进行剪贴板文件复制重定向。
如果禁用此策略设置,则始终允许客户端驱动器重定向。 此外,如果允许剪贴板重定向,始终允许剪贴板文件复制重定向。
如果未配置此策略设置,则不会在组策略级别指定客户端驱动器重定向和剪贴板文件复制重定向。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | TS_CLIENT_DRIVE_M |
| 友好名称 | 不允许驱动器重定向 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 设备和资源重定向 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| 注册表值名称 | fDisableCdm |
| ADMX 文件名 | TerminalServer.admx |
DoNotAllowPasswordSaving
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowPasswordSaving
控制是否可以通过远程桌面连接在此计算机上保存密码。
如果启用此设置,远程桌面连接中的密码保存复选框将被禁用,用户将无法再保存密码。 当用户使用远程桌面连接打开 RDP 文件并保存其设置时,将删除 RDP 文件中以前存在的任何密码。
如果禁用此设置或保持未配置状态,用户将能够使用远程桌面连接保存密码。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | TS_CLIENT_DISABLE_PASSWORD_SAVING_2 |
| 友好名称 | 不允许保存密码 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > 远程桌面服务 > 远程桌面连接客户端 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| 注册表值名称 | DisablePasswordSaving |
| ADMX 文件名 | TerminalServer.admx |
DoNotAllowWebAuthnRedirection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 11版本 22H2 [10.0.22621] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowWebAuthnRedirection
此策略设置允许你控制 Web 身份验证 (WebAuthn) 请求从远程桌面会话重定向到本地设备的重定向。 此重定向使用户能够使用其本地验证器 ((例如,Windows Hello 企业版、安全密钥或其他) )对远程桌面会话中的资源进行身份验证。
默认情况下,远程桌面允许重定向 WebAuthn 请求。
如果启用此策略设置,则用户无法在远程桌面会话中使用其本地验证器。
如果禁用或未配置此策略设置,用户可以在远程桌面会话中使用本地验证器。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | TS_WEBAUTHN |
| 友好名称 | 不允许 WebAuthn 重定向 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 设备和资源重定向 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| 注册表值名称 | fDisableWebAuthn |
| ADMX 文件名 | TerminalServer.admx |
LimitClientToServerClipboardRedirection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | TS_CLIENT_CLIPBOARDRESTRICTION_CS |
| ADMX 文件名 | terminalserver.admx |
LimitServerToClientClipboardRedirection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ✅ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | TS_CLIENT_CLIPBOARDRESTRICTION_SC |
| ADMX 文件名 | terminalserver.admx |
PromptForPasswordUponConnection
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/PromptForPasswordUponConnection
此策略设置指定远程桌面服务在连接时是否始终提示客户端输入密码。
可以使用此设置强制用户登录远程桌面服务的密码提示,即使他们已在远程桌面连接客户端中提供了密码也是如此。
默认情况下,远程桌面服务允许用户通过在远程桌面连接客户端中输入密码来自动登录。
如果启用此策略设置,则用户无法在远程桌面连接客户端中提供其密码来自动登录到远程桌面服务。 系统会提示他们输入密码以登录。
如果禁用此策略设置,则用户始终可以通过在远程桌面连接客户端中提供其密码来自动登录到远程桌面服务。
如果未配置此策略设置,则不会在组策略级别指定自动登录。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | TS_PASSWORD |
| 友好名称 | 连接时始终提示输入密码 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 安全性 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| 注册表值名称 | fPromptForPassword |
| ADMX 文件名 | TerminalServer.admx |
RequireSecureRPCCommunication
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
| ✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 1703 [10.0.15063] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/RequireSecureRPCCommunication
指定远程桌面会话主机服务器是否需要与所有客户端的安全 RPC 通信,还是允许不安全的通信。
可以使用此设置通过仅允许经过身份验证和加密的请求来增强与客户端的 RPC 通信的安全性。
如果状态设置为“已启用”,则远程桌面服务将接受来自支持安全请求的 RPC 客户端的请求,并且不允许与不受信任的客户端进行不安全的通信。
如果状态设置为“已禁用”,则远程桌面服务始终请求所有 RPC 流量的安全性。 但是,对于不响应请求的 RPC 客户端,允许不安全的通信。
如果状态设置为“未配置”,则允许不安全的通信。
注意
RPC 接口用于管理和配置远程桌面服务。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 | chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | TS_RPC_ENCRYPTION |
| 友好名称 | 需要安全的 RPC 通信 |
| 位置 | “计算机配置” |
| 路径 | Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 安全性 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| 注册表值名称 | fEncryptRPCTraffic |
| ADMX 文件名 | TerminalServer.admx |
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈