Полное руководство по терминальным службам Windows Server 2003

Ограничить пользователя одним сеансом (Restrict Each User to One Session)


Включение этой опции предотвращает устанавливать пользователями несколько сеансов на одном сервере, что позволяет экономить его ресурсы, разрешая одному пользователю установить только один сеанс и запускать приложения только в этом сеансе. Учтите, если вы собираетесь предоставлять прямой доступ к индивидуальным приложениям за пределами рабочего стола, то пользователям может потребоваться запустить более одного приложения одновременно.

Citrix MetaFrame поддерживает совместное использование сеанса (session sharing). Это позволяет пользователю запускать несколько опубликованных приложений на том же сервере без создания отдельного сеанса для каждого из них.

На следующем рисунке показан узел соединений. В этом узле вы можете настраивать тайм-ауты, безопасность и перенаправление ресурсов клиента.

По умолчанию вы видите только одно соединение RDP-Tcp. Если у вас многоадресный (multihomed) севрер, то вы можете изменить определение соединения по умолчанию так, чтобы оно применялось только к одному сетевому интерфейсу, а затем создать новое соединение для другого интерфейса. Если вы инсталлировали Citrix MetaFrame, то увидите здесь еще и соединения ICA; но их лучше настраивать с помощью Citrix Connection Configuration.

Щелкнув правой кнопкой на соединении, вы можете целиком его запретить, переименовать или получить доступ к свойствам. Если вы знакомы с Win2K Terminal Services Configuration, то интерфейс WS2K3 покажется вам знакомым, с добавлением новых особенностей RDP 5.2 и новой модели "полной безопасности".

Вкладка General

свойств RDP-Tcp позволяет добавить комментарии к соединению и установить уровень шифрования. WS2K3 предлагает новые уровни шифрования:

  • Low - Все данные от клиента к серверу защищаются 56-битным алгоритмом.
  • Client Compatible (по умолчанию) - Все данные между сервером и клиентом шифруются используя максимальную силу ключа, поддерживаемую клиентом.
  • High - Все данные между сервером и клиентом шифруются используя максимальную силу ключа, поддерживаемую сервером. Клиенты, не способные поддерживать заданный уровень шифрования, не смогут подключиться.

  • FIPS Compliant - Все данные между сервером и клиентом шифруются, используя методы Federal Information Processing Standard (FIPS) 140-1






  • На вкладке Logon Settings вы можете указать, чтобы пользователи регистрировались под своими именами или указать единую учетную запись для автоматического входа.

    Будьте аккуратными с учетной записью для автоматического входа, поскольку это предотвращает вход под администратором.

    Ниже показаны вкладки Sessions

    и Environment. В этих окнах указываются тайм-ауты, опции переподключения, а также начальная программа. По умолчанию значения наследуются из параметров пользователя, подключающегося к серверу. Если вы хотите переопределить значения, сделайте это здесь.

    Вкладка Sessions

    содержит тайм-ауты для разъединенных, холостых и активных сеансов. Разъединенный сеанс - это такой сеанс, в котором пользователь активно отключился от сервера, закрыв окно соединения, но не выбрав из меню Start опцию "Disconnect". Холостой (idle) сеанс - это сеанс с открытым окном, но пользователь не нажимал клавиши и не двигал мышью в течении заданного периода времени. Если сеанс теряет сетевое соединение или наступает тайм-аут холостого сеанса, то вы можете выбрать, как поступать в этом случае - завершить сеанс или считать сеанс разъединенным.

    Вкладка Environment

    позволяет указать некоторую программу, запускаемую при подключении клиента к серверу. Вы должны указать как путь, так и имя исполняемого файла. При подключении любого пользователя, включая администратора, вместо Windows Explorer будет запущена указанная программа. Многие администраторы ошибаются, думая что настройка здесь аналогична папке "Автозагрузка" (Startup) меню Start, которая автоматически запускает программу при регистрации пользователя. Это не так - указанная здесь программа заменяет оболочку Explorer.

     


    Следующие закладки - это Remote Control и Client Settings.



    Когда администратор хочет удаленно подключиться к существующему пользовательскому сеансу, то это называется shadowing, или удаленное управление. На вкладке Remote Control вы можете настроить значения по умолчанию для наследования настроек из пользовательских настроек, или можете указать здесь свои собственные для этого сервера. Если вы указываете настройки здесь, то можете разрешить или запретить, чтобы пользователь давал согласие на удаленное управление (через всплывающее окно), а также можете установить уровень взаимодействия с пользовательским сеансом - только наблюдение или взаимодействие. Если вы выбрали взаимодействие (interact with the session), то администратор может управлять мышью и клавиатурой пользователя от лица пользователя. Вы также можете вообще запретить удаленное управление.



    Вкладка Client Settings

    позволяет переопределить перенаправление следующих ресурсов клиента:

  • Драйвы


  • Принтеры


  • Порты LPT


  • Порты COM


  • Буфер обмена


  • Аудио


  • Вкладки Network Adapter

    и Permissions служат для настройки параметров сервера. На вкладке Network Adapter вы можете указать, что настройки относятся ко всем сетевым адаптерам или только к указанному. На вкладке Permissions вы указываете, кто имеет право подключения к серверу по протоколу RDP, а также уровень их привилегий:

     


    Вкладка Network Adapter

    также позволяет ограничить максимальное число соединений, допустимое для указанного сетевого адаптера или для всего сервера, если установлено "All network adapters configured with this protocol".

    Вкладка Permissions

    несколько отличается от той, что была в Win2K. В Win2K, привилегии по умолчанию позволяли всем пользователям всех доверительных доменов подключаться к терминальному серверу сразу после его установки. В WS2K3 безопасность прежде всего, и подключение разрешено только администраторам и членам группы Remote Desktop Users. Учтите, что группа Remote Desktop Users изначально пустая, поэтому чтобы ваши пользователи могли подключаться к терминальному серверу, вы должны их добавить в эту группу.

    Если вы находитесь в домене AD, то для управления членами группы Remote Desktop Users вы можете использовать настройку Managed Group в групповой политике


    Содержание раздела