如何将组策略对象应用于终端服务服务器
10/19/2020
本文内容
本文介绍如何将组策略对象应用到终端服务服务器。
适用于: Windows Server 2012R2
原始 KB 编号: 260370
摘要
Microsoft Windows Server 2003 终端服务服务器和 Microsoft Windows 2000 终端服务服务器在应用程序服务器模式下为用户安装。 当终端服务服务器位于 Active Directory 域中时,域管理员将组策略对象 (GPO) 到终端服务服务器以控制用户环境。 本文介绍将 GPO 应用到终端服务而不对网络的其他服务器造成负面影响的建议过程。
更多信息
有两种方法将 GPO 应用到终端服务,而不会对网络的其他服务器造成负面影响。
方法 1
将终端服务器计算机放入其自己的组织单位 (OU) 。 此配置允许将相关的计算机配置设置放入仅适用于终端服务器计算机的 GPO 中。 此配置不会影响工作站或其他服务器的用户体验,并允许您为用户创建严格控制的终端服务器体验。 此 OU 不应包含用户或其他计算机,以便域管理员可以微调终端服务体验。 还可以将 OU 委派给下属组(如服务器操作员或单个用户)进行控制。
若要为终端服务服务器创建新的 OU,请按照以下步骤操作:
单击"开始",指向"程序",指向"管理工具",然后单击 "Active Directory 用户和计算机"。
展开左窗格。
单击 domainname.xxx。
在"操作"菜单上,单击"新建",然后单击"组织单位"。
在"名称"框中,键入终端服务服务器的名称。
单击“确定”。
新的终端服务 OU 现在显示在左窗格中的列表中,并且不包含默认对象。 终端服务服务器驻留在 Computers OU 或域控制器 OU 中。
找到终端服务服务器,再单击"操作",然后单击"移动"。
在"移动"对话框中,单击新的终端服务服务器,然后单击"确定"。
单击新的终端服务 OU 以验证移动是否成功发生。
若要创建终端服务组策略对象,请按照以下步骤操作:
单击新的终端服务 OU。
在"操作"菜单上,单击"属性"。
单击"组策略"选项卡。
单击"新建"以创建新的组策略对象。
单击"编辑"修改组策略。
备注
大部分相关设置均在计算机配置、安全设置或本地策略下。 例如,在右侧列表中的"用户权限分配"下,找到"本地登录"。 若要登录到终端服务上的会话,需要此设置。 You also find Access this computer from the network. 若要连接到终端服务会话之外的服务器,需要此设置。 您还可以阻止用户关闭系统。 "安全选项"文件夹是应进行许多限制以及设置与 Windows NT 4.0 服务器版和终端服务器版中的 NTConfig.pol 文件类似的设置的位置。 设置,不应在此处应用策略的用户部分,因为用户尚未通过终端服务服务器放入此 OU 中。 本文针对计算机策略实现编写。
完成修改后,关闭组策略编辑器,然后单击"关闭"以关闭 OU 属性。
方法 2
使用组策略环回功能,仅在用户登录到终端服务器时,才将用户配置 GPO 设置应用于用户。 当为仅包含终端服务器的 OU 中的计算机启用 GPO 环回处理时,这些计算机将应用应用于该 OU 的 GPO 集的用户配置设置。 此外,这些计算机应用 GPO 中的用户配置设置,这些设置链接到或继承自包含用户帐户的 OU。
以下知识库文章介绍了此实现:
231287 组策略的环回处理
如果可能,终端服务应安装在成员服务器上,而不是域控制器上,因为用户需要本地登录用户权限。 将"本地登录"权限分配给域控制器时,由于共享 Active Directory 数据库,该权限将分配给域中的域控制器。 默认情况下,当在应用程序服务器模式下安装终端服务时,会向成员服务器授予本地安全策略中的"本地登录用户"权限。
有关其他信息,请单击以下文章编号以查看 Microsoft 知识库中的文章:
186529 本地策略不允许你以交互方式登录
终端服务器的计算机帐户应添加到为环回创建的 GPO 的安全属性中。 为此,请按照以下步骤操作:
选择为环回创建的 GPO,然后单击"属性 "。
单击"安全" 选项卡,然后单击"添加 "。
在"选择用户、计算机或组"框中,选择计算机帐户,然后单击"确定 "。
从"组或用户名 "框中单击计算机 帐户。
在"计算机名称的权限"框中,单击 以选中" 允许"列中的"读取和应用组策略 " 复选框。
单击"确定"两次以关闭并保存策略设置。
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
