原則 CSP - RemoteDesktopServices
提示
此 CSP 包含 ADMX 支持的原則,需要特殊 SyncML 格式才能啟用或停用。 您必須在 SyncML 中將資料型態指定為 <Format>chr</Format>。 如需詳細資訊,請 參閱瞭解 ADMX 支持的原則。
SyncML 的承載必須是 XML 編碼;針對此 XML 編碼,您可以使用各種在線編碼器。 若要避免編碼承載,如果您的 MDM 支援 CDATA,您可以使用 CDATA。 如需詳細資訊,請參閱 CDATA 區段。
重要
此 CSP 包含一些正在開發且僅適用于 Windows Insider Preview 組建 的設定。 這些設定可能會變更,而且可能相依于預覽中的其他功能或服務。
AllowUsersToConnectRemotely
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
此原則設定可讓您使用遠端桌面服務來設定電腦的遠端訪問。
如果啟用此原則設定,則身為目標計算機上遠端桌面使用者群組成員的使用者可以使用遠端桌面服務從遠端連線到目標計算機。
如果您停用此原則設定,使用者就無法使用遠端桌面服務從遠端連線到目標電腦。 目標計算機會維護任何目前的連線,但不接受任何新的連入連線。
如果您未設定此原則設定,遠端桌面服務會使用目標電腦上的遠端桌面設定來判斷是否允許遠端連線。 此設定位於 [系統屬性] 工作表的 [遠端] 索引標籤上。 根據預設,不允許遠程連線。
注意
您可以使用遠端桌面服務來限制哪些用戶端能夠遠端連線,方法是在計算機設定\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面會話主機\安全性\需要使用網路層級驗證進行遠端連線的用戶驗證。
您可以在計算機設定\系統管理範本\Windows 元件\遠端桌面服務\遠端桌面會話主機\Connections\限制連線數目,或使用遠端桌面會話主機 WMI 提供者設定原則設定 [最大 Connections],來限制可以同時連線的用戶數目。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TS_DISABLE_CONNECTIONS |
| 易記名稱 | 允許使用者使用遠端桌面服務從遠端連線 |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件>遠端桌面服務>遠端桌面會話主機 > Connections |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| ADMX 檔案名稱 | TerminalServer.admx |
ClientConnectionEncryptionLevel
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/ClientConnectionEncryptionLevel
指定是否要求在遠端桌面通訊協定 (RDP) 連線期間,使用特定加密層級來保護用戶端電腦與 RD 工作階段主機伺服器之間的通訊。 只有在您使用原生 RDP 加密時,才適用此原則。 不過,不建議使用原生 RDP 加密 (,而不是 SSL 加密) 。 此原則不適用於 SSL 加密。
- 如果您啟用此原則設定,則用戶端與 RD 工作階段主機伺服器之間的所有通訊都必須使用此設定中指定的加密方法。 根據預設,加密層級會設定為 [高]。 以下是可用的加密方法:
高:[高] 設定會使用強式 128 位加密,將從用戶端傳送到伺服器以及從伺服器傳送到客戶端的數據加密。 在僅包含128位客戶端的環境中使用此加密層級 (例如,執行遠端桌面連線的用戶端) 。 不支援此加密層級的客戶端無法連線到 RD 工作階段主機伺服器。
用戶端相容:[用戶端相容] 設定會以用戶端所支援的最大密鑰強度,加密用戶端與伺服器之間傳送的數據。 在包含不支援128位加密之客戶端的環境中使用此加密層級。
低:[低] 設定只會使用56位加密來加密從客戶端傳送至伺服器的數據。
- 如果停用或未設定此設定,則不會透過 群組原則 強制執行要用於遠端連線至 RD 工作階段主機伺服器的加密層級。
重要。
FIPS 合規性可透過系統密碼編譯來設定。 在 [計算機設定]\[Windows 設定]\[安全性設定]\[本機原則\安全性選項] 底下的 [群組原則 (中,使用符合 FIPS 規範的演算法進行加密、哈希和簽署設定) 。 FIPS 相容設定會使用 Microsoft 密碼編譯模組,使用美國聯邦資訊處理標準 (FIPS) 140 加密演算法,加密和解密從用戶端傳送到伺服器和從伺服器傳送到客戶端的數據。 當用戶端與 RD 工作階段主機伺服器之間的通訊需要最高層級的加密時,請使用此加密層級。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TS_ENCRYPTION_POLICY |
| 易記名稱 | 設定客戶端連線加密層級 |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件 > 遠端桌面服務 > 遠端桌面會話主機 > 安全性 |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| ADMX 檔案名稱 | TerminalServer.admx |
DisconnectOnLockLegacyAuthn
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockLegacyAuthn
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TS_DISCONNECT_ON_LOCK_POLICY |
| ADMX 檔案名稱 | terminalserver.admx |
DisconnectOnLockMicrosoftIdentityAuthn
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockMicrosoftIdentityAuthn
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TS_DISCONNECT_ON_LOCK_AAD_POLICY |
| ADMX 檔案名稱 | terminalserver.admx |
DoNotAllowDriveRedirection
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowDriveRedirection
此原則設定會指定是否要防止遠端桌面服務會話中的用戶端磁碟驅動器對應 (磁碟驅動器重新導向) 。
根據預設,RD 工作階段主機伺服器會在連線時自動對應用戶端磁碟驅動器。 對應的磁碟驅動器會以 上的格式<driveletter>出現在 檔案總管 或 Computer 的工作階段資料夾樹狀<computername>結構中。 您可以使用此原則設定來覆寫此行為。
如果啟用此原則設定,則遠端桌面服務會話中不允許用戶端磁碟驅動器重新導向,且執行 Windows XP、Windows Server 2003、Windows Server 2012 (及更新版本的電腦上不允許剪貼簿檔案複製重新導向,) 或 Windows 8 (及更新版本) 。
如果您停用此原則設定,一律允許用戶端磁碟驅動器重新導向。 此外,如果允許剪貼簿重新導向,則一律允許剪貼簿檔案複製重新導向。
如果您未設定此原則設定,則不會在 群組原則 層級指定用戶端磁碟驅動器重新導向和剪貼簿檔案複製重新導向。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TS_CLIENT_DRIVE_M |
| 易記名稱 | 不允許磁碟驅動器重新導向 |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件 > 遠端桌面服務 > 遠端桌面會話主機 > 裝置和資源重新導向 |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| 登錄值名稱 | fDisableCdm |
| ADMX 檔案名稱 | TerminalServer.admx |
DoNotAllowPasswordSaving
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowPasswordSaving
控制是否可以從遠端桌面連線將密碼儲存在此電腦上。
如果您啟用此設定,[遠端桌面連線] 中的 [密碼儲存] 複選框將會停用,且使用者將無法再儲存密碼。 當使用者使用遠端桌面連線開啟 RDP 檔案並儲存其設定時,將會刪除先前存在於 RDP 檔案中的任何密碼。
如果您停用此設定或保留未設定,使用者將能夠使用遠端桌面連線來儲存密碼。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TS_CLIENT_DISABLE_PASSWORD_SAVING_2 |
| 易記名稱 | 不允許儲存密碼 |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件 > 遠端桌面服務 > 遠端桌面連線用戶端 |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| 登錄值名稱 | DisablePasswordSaving |
| ADMX 檔案名稱 | TerminalServer.admx |
DoNotAllowWebAuthnRedirection
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 11 版本 22H2 [10.0.22621] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowWebAuthnRedirection
此原則設定可讓您控制 WebAuthn (Web 驗證的重新導向,) 從遠端桌面會話到本機裝置的要求。 此重新導向可讓使用者使用其本機驗證器驗證遠端桌面會話內的資源, (例如 Windows Hello 企業版、安全性密鑰或其他) 。
根據預設,遠端桌面允許重新導向 WebAuthn 要求。
如果您啟用此原則設定,使用者就無法在遠端桌面會話內使用其本機驗證器。
如果您停用或未設定此原則設定,用戶可以在遠端桌面會話內使用本機驗證器。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TS_WEBAUTHN |
| 易記名稱 | 不允許 WebAuthn 重新導向 |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件 > 遠端桌面服務 > 遠端桌面會話主機 > 裝置和資源重新導向 |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| 登錄值名稱 | fDisableWebAuthn |
| ADMX 檔案名稱 | TerminalServer.admx |
LimitClientToServerClipboardRedirection
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TS_CLIENT_CLIPBOARDRESTRICTION_CS |
| ADMX 檔案名稱 | terminalserver.admx |
LimitServerToClientClipboardRedirection
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ✅ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TS_CLIENT_CLIPBOARDRESTRICTION_SC |
| ADMX 檔案名稱 | terminalserver.admx |
PromptForPasswordUponConnection
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/PromptForPasswordUponConnection
此原則設定會指定遠端桌面服務是否一律會在連線時提示用戶端輸入密碼。
您可以使用此設定來強制使用者登入遠端桌面服務的密碼提示,即使他們已在遠端桌面連線用戶端中提供密碼。
根據預設,遠端桌面服務可讓用戶在遠端桌面連線用戶端中輸入密碼來自動登入。
如果啟用此原則設定,使用者就無法在遠端桌面連線用戶端中提供密碼,自動登入遠端桌面服務。 系統會提示他們輸入密碼以登入。
如果您停用此原則設定,使用者一律可以在遠端桌面連線用戶端中提供其密碼,自動登入遠端桌面服務。
如果您未設定此原則設定,則不會在 群組原則 層級指定自動登入。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TS_PASSWORD |
| 易記名稱 | 線上時一律提示輸入密碼 |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件 > 遠端桌面服務 > 遠端桌面會話主機 > 安全性 |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| 登錄值名稱 | fPromptForPassword |
| ADMX 檔案名稱 | TerminalServer.admx |
RequireSecureRPCCommunication
| 領域 | 版本 | 適用的作業系統 |
|---|---|---|
| ✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1703 [10.0.15063] 和更新版本 |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/RequireSecureRPCCommunication
指定遠端桌面會話主機伺服器是否需要與所有客戶端進行安全的 RPC 通訊,或允許不安全的通訊。
您可以使用此設定,藉由只允許已驗證和加密的要求,來加強與用戶端的 RPC 通訊安全性。
如果狀態設定為 [已啟用],遠端桌面服務會接受來自支援安全要求之 RPC 用戶端的要求,而且不允許與不受信任的用戶端進行不安全的通訊。
如果狀態設定為 [已停用],遠端桌面服務一律會要求所有 RPC 流量的安全性。 不過,未回應要求的 RPC 用戶端會允許不安全的通訊。
如果狀態設定為 [未設定],則允許不安全的通訊。
注意
RPC 介面用於管理和設定遠端桌面服務。
描述架構屬性:
| 屬性名稱 | 屬性值 |
|---|---|
| 格式 | chr (字串) |
| 存取類型 | 新增、刪除、取得、取代 |
提示
這是 ADMX 支持的原則,而且需要 SyncML 格式才能進行設定。 如需 SyncML 格式的範例,請參閱 啟用原則。
ADMX 對應:
| 名稱 | 值 |
|---|---|
| 名稱 | TS_RPC_ENCRYPTION |
| 易記名稱 | 需要安全的 RPC 通訊 |
| 位置 | [電腦設定] |
| 路徑 | Windows 元件 > 遠端桌面服務 > 遠端桌面會話主機 > 安全性 |
| 登錄機碼名稱 | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| 登錄值名稱 | fEncryptRPCTraffic |
| ADMX 檔案名稱 | TerminalServer.admx |
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應