因为这篇文章写于2008 RC1版本的时候,所以所有内容以RC1版本为准。因为还没有拿到过正式版,故正式版中的改变,不在下文的讨论中。
因为公司一直在从事远程数据处理业务,所以当我刚刚拿到Windows
Server 2008的时候,关注点立刻就投入到新版本的Terminal Service。一般来说,当建立Terminal Service的时候,我们通常会通过设置一些组策略来限制用户在服务器可进行的操作,以提高
服务器的安全性。在Windows Server 2003中,虽然
微软已经给我们提供了很多的策略,但仍然可以感觉到这些策略不够细致。在Windows Server 2008中,Terminal Service的组策略再一次得到了细化。下面就让我们从实战的角度来分析一下Terminal Service 2008的组策略一些新特性。
在Windows Server 2008中,Terminal Service组策略在类别以及功能结构上进行了细化,并按照客户端,服务器和序列号,把整个组策略划分为三大部分:Remote Desktop Connection Client; Terminal Server; TS License.如图一
图一
第一部分是对于RDT客户端安全性的管理,除了在2003中就已经出现的“是否允许在客户端保存密码”和对客户端的登陆验证之外策略之外,新增加了对2008出现的新功能RemoteApp Programs的安全性管理,“Allow .rdp files from valid publishers and user’s default .rdp setting”, “Allow .rdp files from Unknown publishers”和“Specify SHA1 thunmbprints of certificates representing trusted .rdp Publishers,如图二
图二
第二部分是对TS服务器的管理,在做评述之前,我们可以先把2003和2008中的组策略做一个结构上的对比,图三是2003中的组策略,图四是2008中的组策略,
图三
图四
在2003系统中,当需要实施一条新的组策略的时候,因为分类的不清晰,造成了我们要在根目录下对策略进行逐条寻找。相对而言,在2008中Terminal Server的组策略设置更加的类别化了,系统管理员更加容易从这些类别目录中找到自己所需要的策略。
“Connections”,在2008系统中,所有关于网络连接的策略都被至于此类别当中,而在之前的2003当中,此类别的项目是被放置于Terminal Service的根目录下,如图五
图五
“Device and Resource Redirection”,在2008系统中,与2003系统不同的是将“Client/Server data redirection”中关于打印机的部分独立了出来,并重新建立了一个类别目录“Printer Redirection”,在稍后的部分里面,会有独立的关于“Printer Redirection”的分析。在“Device and Resource Redirection”中其他的策略与2003中的相同,如图六
图六
“Licensing”,在2008中,“Licensing”目录下的内容与2003中的完全不同。主要的作用是管理本地Terminal Server的序列号使用状况,其内容也主要是从Terminal Service根目录下已到了Licensing目录下,并增加了“Hide notification...”一项,如图七
图七
“Printer Redirection”,如我们前面所提到的,在2008中,关于打印机重定向问题被细化和重新分类,在新的打印机策略中,可以对我们重定向到Terminal Server的打印机进行更好的管理,避免了我们在Terminal Server上遇到的众多打印机问题,如图八
图八
“Profiles”,在2008中,Profiles相关的策略被重新归类,从Terminal Service的根目录下,被移到了Profiles下,如图九
图九
“Remote Session Environment”,在2008中,有5条策略被从Terminal Service根目录下转移到新的目录,并添加了两条新的策略,如图十
图十
“Security”,作为2008中全新出现的一组策略,涉及到与2003非常多的不同,除了在2003出现的三条之外,还另外增加了四条新的策略。其中有一条就是令很多Windows XP用户非常头疼的“Network Level Authentication”,在默认的策略解释中,此项策略是被Disable的,就是说Windows XP用户可以在不启用NLA策略的情况下正常的连接到2008的Terminal Server。实际的情况是,在RC1的版本中,此项策略默认情况下是被Enable的,就是说如果不更改组策略,将没有任何Windows XP用户可以连接到2008的Terminal Server。如图十一,图十二
图十一
图十二
“Session Time Limits”,对应2003的“Session”一项,同时因为RemoteAPP的缘故,新增加 了对RemoteAPP的限制,如图十三
图十三
“Temporary folder”,在2008中与2003中完全相同,如图十四
图十四
“TS Session Broker”,在2008中,很多2003中的名称被重新定义了,如“Session Directory”更改为“Session Broker”;“Session Directory Cluster Name”更改为“Session Broker farm name”等等,同时增加了对负载均衡的管理,如图十五
图十五
第三部分,也是最后一部分,对TS Licensing的管理。“TS Licensing”,在2008中的管理与2003中的完全相同,如图十六,
图十六
Windows Server 2008 Terminal Service组策略浅析,到此结束。随着工作的深入和新版本的发布,争取对其中的组策略进行更加详细的分析。
作者:fire_frost
