【51CTO精選譯文】雖然微軟通過向?qū)С绦蛞约爸苯訛镽DS服務(wù)器管理工具（RDS Server Manager Tool）提供越來越多的設(shè)置，但幾乎所有設(shè)置仍作為微軟組策略里面的一個(gè)配置設(shè)置而出現(xiàn)。由于微軟決定把所有RDS設(shè)置都放在組策略對象（GPO）配置的一個(gè)文件夾里面，我經(jīng)常遇到有些人不明白哪些設(shè)置應(yīng)該適用于哪幾項(xiàng)，或者不明白設(shè)置的具體配置是什么。我在該文章系列中將逐一介紹可用的RDS策略，介紹你可以用它來配置什么，以及該設(shè)置應(yīng)該適用于哪一項(xiàng)。

RDS策略設(shè)置的位置

RDS策略設(shè)置可能出現(xiàn)在Computer Configuration（計(jì)算機(jī)配置）上，也可能出現(xiàn)在User Configuration（用戶配置）上。許多設(shè)置在計(jì)算機(jī)配置和用戶配置之間共享，但邏輯上適用于計(jì)算機(jī)層面或用戶層面。如果你在計(jì)算機(jī)層面或用戶層面配置設(shè)置，會(huì)發(fā)現(xiàn)Administrative Tools（管理工具）- Windows Components（Windows組件）- Remote Desktop Services（遠(yuǎn)程桌面服務(wù)）下的設(shè)置是獨(dú)立的。我會(huì)先介紹計(jì)算機(jī)配置方面的可用策略選項(xiàng)。

計(jì)算機(jī)配置策略的設(shè)置

在組策略編輯器里面打開遠(yuǎn)程桌面服務(wù)面板后，你會(huì)看到三個(gè)子文件夾。

圖1：遠(yuǎn)程桌面配置計(jì)算機(jī)配置設(shè)置子文件夾

每個(gè)子文件夾代表RDS堆棧的一個(gè)不同部分。文件夾RD Licensing包含RD Licensing Server組件的設(shè)置，文件夾Remote Desktop Connection Client提供了適用于RDP客戶端的設(shè)置，而文件夾Remote Desktop Session Host文件夾RDS服務(wù)器可用的設(shè)置。這是我見過的一種錯(cuò)誤：設(shè)置適用于錯(cuò)誤的計(jì)算機(jī)。不妨先說說可用的RD Licensing設(shè)置，這些設(shè)置在圖1中也有所顯示。

RD 授權(quán)

• 許可證服務(wù)器安全組

默認(rèn)情況下，客戶端請求許可證時(shí)，RDS許可證服務(wù)器會(huì)為遠(yuǎn)程桌面會(huì)話主機(jī)提供許可證。不過，這個(gè)行為可以用許可證服務(wù)器安全組（License Server Security Group）設(shè)置來改變。啟用該策略設(shè)置會(huì)讓許可證只提供給屬于（本地）RDS端點(diǎn)服務(wù)器組成員的遠(yuǎn)程桌面會(huì)話主機(jī)。如果某服務(wù)器沒有在該組中列出來，就不提供任何許可證。默認(rèn)情況下，該設(shè)置未經(jīng)配置，這跟使用Disabled（禁用）選項(xiàng)來配置該策略是同一種行為（那樣所有許可證請求將得到承認(rèn)，RDS終端服務(wù)器組的內(nèi)容將不被使用）。如果你想全面控制許可證發(fā)放，該策略就很有用。

• 防止許可證升級

適用于RDS許可證服務(wù)器的第二個(gè)設(shè)置被標(biāo)為Prevent License Upgrade（防止許可證升級）。默認(rèn)情況下，RDS許可證服務(wù)器會(huì)提供與遠(yuǎn)程桌面會(huì)話主機(jī)（或2003終端服務(wù)器）同一層面的RDS客戶端訪問許可證（CAL）。如果沒有此類許可證，遠(yuǎn)程桌面許可證服務(wù)器就會(huì)提供更高級別的RDS CAL。所以在沒有2003 RDS CAL可用，但2008 RDS CAL可用的情況下，就會(huì)分配2008 RDS CAL。如果你啟用防止許可證升級這個(gè)設(shè)置，沒有一個(gè)2008 RDS CAL會(huì)提供給2003遠(yuǎn)程桌面會(huì)話主機(jī)客戶端，但會(huì)發(fā)放臨時(shí)的2003 RDS CAL。在客戶端之前已經(jīng)請求CAL、臨時(shí)CAL到期的情況下，客戶端無法建立連接。本人并不覺得配置該設(shè)置有任何優(yōu)點(diǎn)而言。策略被設(shè)成Not Configured（不配置）或Disabled（禁用）將提供前面所述的默認(rèn)行為。

遠(yuǎn)程桌面鏈接客戶端

第二個(gè)部分關(guān)于需要適用于啟動(dòng)MS RDP Client（mstsc.exe，又叫RDC Client）的機(jī)器的設(shè)置。下列設(shè)置是Remote Desktop Client可用的設(shè)置。

圖2：Remote Desktop Connection Client設(shè)置

• 允許來自有效發(fā)行商的.rdp文件和用戶的默認(rèn).rdp設(shè)置

你可以用這個(gè)設(shè)置來控制用戶如何開始建立遠(yuǎn)程桌面連接。該設(shè)置被啟用后，用戶可以開始建立基于RDP文件（由有效發(fā)行商簽名）的RDP連接，或者將服務(wù)器名稱填入到RDP客戶端，手動(dòng)啟動(dòng)會(huì)話。如果你想僅僅允許那兩種連接，應(yīng)該啟用下面這個(gè)設(shè)置："Allow .rdp files from unknown publishers"（允許來自未知發(fā)行商的.rdp文件）。該設(shè)置還可以用來完全禁止使用遠(yuǎn)程桌面客戶端，只需要禁用該設(shè)置。然后，用戶就無法通過在遠(yuǎn)程桌面客戶端輸入服務(wù)器名稱，手動(dòng)開始建立RDP連接。我可以想象在一些情況下，你希望啟動(dòng)來自有效發(fā)行商的RDP文件，但又不想讓用戶手動(dòng)建立連接。遺憾的是，目前的策略設(shè)置做不到這點(diǎn)。

該設(shè)置還出現(xiàn)在用戶層面上，但在計(jì)算機(jī)層面上配置設(shè)置會(huì)引起配置適用于所有用戶。

圖3：禁用允許來自有效發(fā)行商的.rdp文件和用戶的默認(rèn).rdp設(shè)置，就可以禁止遠(yuǎn)程桌面連接

• 允許來自未知發(fā)行商的.rdp文件

如果你想讓用戶只能開始建立基于有效發(fā)行商簽名的RDP文件的RDP連接，就應(yīng)該啟用該設(shè)置。這將不允許用戶通過遠(yuǎn)程桌面客戶端開始建立手動(dòng)連接，只有來自未知發(fā)行商的RDP文件將被阻止。Not Configured（不配置）意味著，可以啟動(dòng)來自未知發(fā)行商的.rdp文件，不過會(huì)顯示警告信息。

• 不允許密碼被保存

如果你不希望用戶有可能使用復(fù)選框"Remember my credentials"（記住我的登錄憑證），就應(yīng)該啟用該策略設(shè)置。復(fù)選框會(huì)被禁用，RDP文件中不會(huì)保存任何密碼。默認(rèn)情況下，用戶可以使用"remember my credentials"復(fù)選框。可遺憾的是，你無法使用會(huì)話主機(jī)上的策略設(shè)置，獲得類似的結(jié)果。

• 指定代表可信.rdp發(fā)行商的證書的SHA1指紋

如果你使用可信.rdp發(fā)行商，那些RDP文件應(yīng)該加以簽名。借助"Specify SHA1 thumbprints of certificates representing trusted .rdp publishers"（指定代表可信.rdp發(fā)行商的證書的SHA1指紋）這個(gè)策略，你可以為證書可信的系統(tǒng)提供RDP文件。確切的值位于指紋字段里面的一個(gè)或多個(gè)證書的屬性。

• 關(guān)閉客戶端UDP

默認(rèn)情況下，RDP客戶端使用UDP和TCP與遠(yuǎn)程桌面會(huì)話主機(jī)進(jìn)行聯(lián)系。借助這個(gè)設(shè)置，你可以配置遠(yuǎn)程桌面客戶端，以便它只使用基于TCP的通信。

• 提示客戶端計(jì)算機(jī)上輸入登錄憑證

微軟改變了建立RDP會(huì)話時(shí)，要求用戶輸入登錄憑證的方法。在Windows Server 2000和2003中，會(huì)話已經(jīng)建立完畢后（在終端服務(wù)器上建立），用戶提供登錄憑證。從Windows 2008開始，用戶將提供已經(jīng)在客戶端上的用戶登錄憑證，所以在會(huì)話之前出示給最終用戶。啟用該設(shè)置讓你可以為所有遠(yuǎn)程桌面會(huì)話獲得一樣的行為（在Windows 2008版本之前也是如此）。登錄憑證保存到RDP文件中后，系統(tǒng)不會(huì)提示用戶輸入登錄憑證。

• 為客戶端配置服務(wù)器驗(yàn)證

服務(wù)器驗(yàn)證基于加密級別，***加密級別使用TLS（基于證書）。借助Configure Server authentication for client（為客戶端配置服務(wù)器驗(yàn)證），你可以配置加密級別何時(shí)不匹配。默認(rèn)情況下，如果驗(yàn)證失敗，客戶端會(huì)警告，但連接照樣建立。你還可以將該策略設(shè)成"Always connect even if authentication fails"（即使驗(yàn)證失敗，始終連接），那樣警告信息不顯示，或者將該策略設(shè)成"Do not connect if authentication fails"（如果驗(yàn)證失敗，不連接），那樣RDP連接無法建立。

結(jié)束語

在該文章系列的***個(gè)部分，我們探討了配置RDS設(shè)置的幾種可行的方法，策略具有壓倒性地位。我們還看到了RDS策略既有計(jì)算機(jī)設(shè)置，又有用戶設(shè)置。我們開始介紹了計(jì)算機(jī)配置設(shè)置，包括描述它們應(yīng)該適用于哪些組件。在第二個(gè)部分中，我們將繼續(xù)介紹遠(yuǎn)程桌面會(huì)話主機(jī)可用的設(shè)置，隨后介紹可用的用戶設(shè)置。

原文鏈接：http://www.virtualizationadmin.com/articles-tutorials/vdi-articles/microsoft-hyper-v/microsoft-rds-policies-explained-part1.html