Rdp tcp properties где находится

Rdp tcp properties где находится

Служба Remote Desktop Services (RDS) в Windows Server 2008 R2 это не просто ребрендинг своего предшественника – службы Terminal Services. Новые функции, часть из которых появилась еще в Windows Server 2008, такие как RemoteApp, RD Gateway и RD Virtualization Host, позволяют просто и удобно обеспечить развертывание и функционирование как отдельных пользовательских приложений, так и целые рабочих столов в RDS и VDI решениях, причем функционал и удобство нисколько не хуже, чем у решений Citrix или комплексов других вендоров.

А как же обстоят дела с безопасностью службы Remote Desktop Services? Microsoft существенно обновила и усилила безопасность данной службы. В данной статье мы поговорим о механизмах безопасности RDS, об обеспечении безопасности терминальных служб средствами групповых политик и о практических аспектах обеспечения безопасности решений RDS.

Что нового в R2

Если вам приходилось работать с версиями служб терминалов в Windows Server 2003 и Windows Server 2008, то вы, вероятно, помните, что в Windows 2008 появился ряд новых возможностей, таких как TS Web Access (подключение через браузер), TS Gateway (доступ к терминальным службам через Интернет), RemoteApp (публикация отдельных приложений по протоколу RDP) и служба Session Broker (обеспечение балансировки нагрузки).

В Windows Server 2008 R2 появился следующие функции:

  • Remote Desktop Virtualization для решений VDI
  • Провайдер RDS для PowerShell (теперь администратор может управлять конфигурацией и управлением RDS из командной строки или с помощью скриптов)
  • Remote Desktop IP Virtualization, позволяющей назначать подключениям IP адреса, основываясь на параметрах сессии или запускаемого приложения
  • Новая версия протокола RDP и клиента Remote Desktop Connection (RDC) — v. 7.0
  • Управление ресурсами CPU для динамического выделения процессорных ресурсов на основе количества активных сессий
  • Совместимость с Windows Installer, позволяющая устанавливать программы с возможностью донастройки параметров приложения на стороне пользователя.
  • Поддержка на стороне клиента до 16 мониторов.

Кроме того, были доработаны функции работы с видео и аудио, и полноценная поддержка технологии Windows Aero (отметим, что Aero не поддерживается при мультимониторном режиме работы).

Естественно, вопросы безопасности службы RDS зависят от конкретного решения. Например, если публиковать рабочий стол для пользователей, подключающихся через Интернет или с помощью браузера, то вопрос безопасности встает намного более остро, чем при стандартном решении, когда клиенты подключаются с помощью клиента RDC по локальной сети LAN.

Network Level Authentication

Для обеспечения большей безопасности для всех подключений необходимо задействовать механизм аутентификации Network Level Authentication (NLA). NLA требует от пользователя авторизоваться на сервере RD Session Host еще до того, как сессия создана. Этот механизм позволяет защитить сервер от обработки лишних сессий, которые могут генерироваться злоумышленниками или программами-ботами. Для того, чтобы воспользоваться NLA, клиентская операционная система должна поддерживать протокол Credential Security Support Provider (CredSSP), что подразумевает ОС Windows XP SP3 (как включить NLA в Windows XP SP3) и выше, а также клиента RDP 6.0 или выше.

Настроить NLA можно на сервере RD Session, открыв консоль Administrative Tools -> Remote Desktop Services -> Desktop Session Host Configuration.

  1. Щелкните правой кнопкой мыши по подключению
  2. Выберите Properties
  3. Перейдите на вкладку General
  4. Отметьте опцию “Allow connections only from computers running Remote Desktop with Network Level Authentication”
  5. Нажмите OK.

Transport Layer Security (TLS)

В сессии RDS можно задействовать один из трех механизмов безопасности, позволяющих защитить соединение между клиентов и сервером RDS Session Host:

  • RDP security layer – используется встроенное шифрование протокола RDP, является менее безопасным.
  • Negotiate – шифрование TLS 1.0 (SSL) будет использоваться в случае поддержки клиентом, если клиент его не поддерживает, будет использоваться обычный уровень безопасности RDP.
  • SSL – шифрование TLS 1.будет использоваться для аутентификации сервера и шифрования передаваемых данных между клиентом и сервером. Это наиболее безопасный режим.

Для обеспечения высокого уровня безопасности необходимо использовать шифрование SSL/TLS. Для этих целей необходимо иметь цифровой сертификат, он может быть самоподписанным либо выданным центром сертификации CA (что предпочтительнее).

В дополнении к уровню безопасности можно выбрать уровень шифрования соединения. Доступны следующие виды шифрования:

  • Low – используется 56 битное шифрование данных, отправляемых с клиента на сервер. Данные, передаваемые с сервера на клиент не шифруются.
  • Client Compatible – данный вид шифрования используется по умолчанию. В этом случае шифруется весь трафик между клиентом и сервером с максимальной длиной ключа, которую поддерживает клиент.
  • High – все данные передаваемые между клиентом и сервером в обе стороны шифруются 128 битным ключом
  • FIPS Compliant – все данные передаваемые между клиентом и сервером в обе стороны шифруются методом FIPS 140-1.

Стоит отметить, что если используются уровни шифрования High или FIPS Compliant, то все клиенты, не поддерживающие данный вид шифрования, не смогут подключиться к серверу.

Настроить тип аутентификации сервера и уровень шифрования можно следующим образом:

  1. На сервере RD Session Host, откройте окно конфигурации Remote Desktop Session Host и перейдите в окно свойств.
  2. На вкладке General, в выпадающих меню выберите необходимый уровень безопасности и тип шифрования.
  3. Нажмите OK.

Групповые политики

Для настройки параметров RDS в Windows Server 2008 R2 есть ряд опций групповой политики. Все они расположены в разделе Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsRemote Desktop Services (скриншот консоли Group Policy Management Console отображен на картинке).

Как вы видите здесь есть политики управления лицензированием, политики настройки клиента RDC и самого сервера RD Session Host. К политикам безопасности RD Session Host относятся:

  • Set Client Connection Encryption Level: политика используется для управления уровнем шифрования. Если ее активировать, все соединения должны использовать указанный уровень шифрования (по умолчанию – High).
  • AlwaysPromptforPassworduponConnection: данная политика используется, если необходимо всегда спрашивать пароль пользователя при подключении к сессии RD, даже если пароль был введен в клиенте RDC. По умолчанию, пользователи могут автоматически входить в сессию, если они указали пароль в клиенте RDC.
  • RequireSecureRPCCommunication: — при включенной политики разрешены только аутентифицированные и шифрованные запросы от клиентов.
  • RequireUseofSpecificSecurityLayerforRemote(RDP)Connections: при включенной политике, все соединения между клиентом и сервером терминалов должны использовать уровень безопасности, указанный здесь (RDP, Negotiate или SSL/TLS)
  • DoNotAllowLocalAdministratorstoCustomizePermissions: политика отключает возможность администраторам настраивать параметры безопасности RD Session Host.
  • Require User Authentication for Remote Connections by using Network Level Authentication: Политика включает требование NLA для всех соединения с терминальным сервером (клиенты без поддержки NLA подключиться не смогут).

Параметры настройки клиента RDC находятся в подразделе Remote Desktop Connection Client:

  • Donotallowpasswordstobesaved: политика запрещает сохранять пароли в клиенте RDC, опция «Сохранить пароль» становится недоступна, все ранее сохраненные пароли будут удалены.
  • SpecifySHA1thumbprintsofcertificatesrepresentingtrusted .rdppublishers: эта политика позволяет создать список отпечатков SHA1 сертификатов, и если сертификат соответствует отпечатку в это списке, он считается доверенным.
  • Promptforcredentialsontheclientcomputer: политика активирует запрос учетных данных пользователя на клиентском компьютере, а не сервере RD Session.

RD Web Access

Пользователи компьютеров, на которых не установлен клиент RDC, могут получать доступ к опубликованным приложениям с помощью веб-браузера. Для этого пользователь должен в браузере открыть URL, на котором опубликованы ресурсы RDS. Сервер RD Web Access – это отдельная роль сервера RD, обычно он располагается на выделенном сервере.

Читайте также:  Как ограничить просмотр видео в ютубе

Веб интерфейс сервера RD Web Access основан на использовании SSL и пользователи могут авторизоваться на нем с помощью своих учетных данных. Аутентифицированные пользователи видят лишь список тех опубликованных программ (RemoteApp), к которым у них есть доступ.

Сервер Web Access для шифрования использует сертификат X.509. По умолчанию используется самоподписанный сертификат.

Аутентификация и шифрование с применением SSL Протокол RDP с защитой на уровне сокетов Secure Sockets Layer (SSL) — малоизвестное новшество операционной системы Windows Server 2003 Service Pack (SP) 1 и более поздних версий.

Аутентификация и шифрование с применением SSL

Протокол RDP с защитой на уровне сокетов Secure Sockets Layer (SSL) — малоизвестное новшество операционной системы Windows Server 2003 Service Pack (SP) 1 и более поздних версий. Однако с помощью протокола RDP with SSL можно организовать надежное шифрование передаваемых данных и подтверждать подключение пользователей к доверенному серверу терминала. В данной статье рассказывается о том, как настроить клиенты для подключения к серверу терминала с использованием SSL и подготовить сервер терминала для обслуживания RDP-соединений с защитой на уровне сокетов.

Особенности пакета SP1

RDP — фирменный протокол Microsoft для службы Windows Terminal Services. Сквозное шифрование RDP with SSL обеспечивает дополнительный уровень шифрования для конфиденциальных данных и позволяет клиентам проверить подлинность сервера, предотвращая атаки, в ходе которых мошенник вклинивается между клиентом и сервером (man-in-the-middle). Если клиент не доверяет центру сертификации (CA), выпустившему сертификат SSL для сервера, и/или подлинность имени сервера не может быть подтверждена, то перед подключением к серверу клиент выдает предупреждение.

Использование SSL для принудительной проверки подлинности сервера и сквозное шифрование данных для RDP отличаются от протокола RDP over HTTP (реализация запланирована в Longhorn Server), который обеспечивает соединение с сервером Windows Terminal Services через RDP-порт 443. В Windows 2003 SP1 и более поздних версиях для организации сеанса сервера терминала по-прежнему необходим RDP-порт 3389.

Даже при наличии сертификата, выданного центром сертификации корпоративной сети предприятия (в отличие от стороннего CA, например, VeriSign, которому Windows доверяет по умолчанию), SSL не обеспечивает подключение к серверу через RDP известных клиентов. Запросы клиентских сертификатов не поддерживаются. Туннель Secure Shell (SSH) или IPsec VPN остается лучшим способом подключения к серверу только доверенных клиентов.

Установка и настройка клиента RDP

В системах Windows 2003 SP1 и более поздних файлы для нового клиента Remote Desktop Connection (версия 5.2.3790.1830) можно найти в папке C:windowssystem32clients sclientwin32. Следует учесть, что в настоящее время исходные файлы для установки версии 5.2 клиентской программы в рабочей станции имеются только в Windows 2003 SP1.

Файлы нужно разместить в папке win32 на общем диске, доступном для рабочих станций в сети предприятия. После этого можно вручную установить обновленный клиент Remote Desktop Connection на рабочей станции Windows XP или Windows 2000, подключившись к общему диску, запустив файл setup.exe и следуя инструкциям программы.

В версии 5.2 клиента Remote Desktop Connection появилась вкладка Security (экран 1), на которой можно указать, следует ли клиенту проверять сертификат сервера перед подключением к серверу. Возможны три варианта.

Экран 1. Новая вкладка Security клиента Remote Desktop Connection
  • No authentication — клиент не пытается проверить сертификат сервера перед подключением. Если для связи с сервером требуется аутентификация SSL, то клиент не сможет установить соединение.
  • Require authentication — клиент проверяет сертификат сервера перед подключением к серверу. Если клиент не может определить подлинность сервера, то соединение с сервером установлено не будет.
  • Attempt authentication — клиент проверяет сертификат сервера перед подключением к серверу. Клиент может установить соединение с сервером с SSL-аутентификацией или без нее, в зависимости от конфигурации сервера, даже если клиенту не удается полностью удостоверить подлинность сервера.

В настоящее время в Group Policy нет параметра для нового режима безопасности клиента Remote Desktop Connection. Однако можно задать значение параметра AuthenticationLevelOverride типа DWORD в разделе реестра HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server Client, чтобы установить выбранный параметр. Значение 0 соответствует режиму No authentication, 1 — Require authentication, и 2 — Attempt authentication. Параметр AuthenticationLevelOverride типа DWORD в разделе HKEY_LOCAL_MACHINESOFTWARETerminal Server Client реестра поможет распространить действие на всех пользователей рабочей станции.

Доверие сертификатам CA из корпоративной сети

Помимо настройки клиента Remote Desktop Connection, необходимо убедиться, что рабочая станция доверяет сертификатам, выданным центром сертификации в корпоративной сети. Для этого требуется выполнить следующие действия:

  1. Перейти по адресу http://servername/certsrv, где servername — имя сервера, на котором размещается центр сертификации в intranet.
  2. Установить режим Download a CA certificate, certificate chain or CRL.
  3. Установить режим Install this CA certificate chain.

Если есть все основания доверять центру сертификации, следует принять все предупреждения, и на экране появится сообщение об успешной установке цепочки сертификации.

Запрос сертификата для сервера терминала

Прежде чем использовать SSL для соединения с сервером терминала, необходимо запросить соответствующий сертификат из центра сертификации корпоративной сети:

  1. Открыть оснастку Certificates консоли управления Microsoft Management Console (MMC) на сервере терминалов от имени учетной записи локального компьютера.
  2. Выбрать Certificates (Local Computer) в корневом каталоге консоли, затем перейти к пункту Options меню View. Выбрать Certificate Purpose в разделе Organize view mode by и нажать кнопку OK.
  3. Щелкнуть правой кнопкой мыши Server Authentication и выбрать Request new certificate в разделе All tasks.
  4. Нажать кнопку Next на экране приветствия. Выбрать режим Server Authentication (или Domain Controller Authentication). Установить флажок Advanced и нажать кнопку Next.
  5. Убедиться, что в качестве поставщика службы шифрования выбран Microsoft RSA SChannel Cryptographic Provider, а длина ключа — 1024. Нажать кнопку Next.
  6. Перейти к центру сертификации корпоративной сети (если он еще не выбран) и выбрать его. Нажать кнопку Next.
  7. Ввести понятное имя и описание сертификата. Нажать кнопку Next, а затем Finish.

После этого на экране должно появиться сообщение, что запрос к центру сертификации корпоративной сети был успешным.

Настройка сервера терминала на использование SSL with RDP

Чтобы настроить RDP для использования SSL, следует открыть Terminal Services Configuration из меню Administrative Tools на сервере терминала. В разделе Connections правой панели следует щелкнуть правой кнопкой мыши RDPTcp и выбрать пункт Properties, чтобы открыть диалоговое окно RDP-Tcp Properties (экран 2).

Экран 2. Настройка конфигурации RDP-Tcp

Сначала необходимо выбрать сертификат, который будет использоваться соединением. Нажмите кнопку Edit на вкладке General. В диалоговом окне Select Certificate (экран 3) можно выбрать один из сертификатов, выданных серверу центром сертификации. Это должен быть сертификат, созданный на предыдущем этапе.

Экран 3. Выбор сертификата для использования с RDP

В поле Security layer вкладки General появилось два новых параметра в дополнение к RDP Security layer. Параметр Negotiate устанавливает самый высокий уровень шифрования (TLS 1.0), который применяется, если его поддерживает клиент; в противном случае используется стандартный RDP. Этот режим полезен как временная мера на период развертывания на рабочих станциях нового клиента Remote Desktop Connection. В режиме SSL разрешается использовать только TLS 1.0. Следует отметить, что параметр SSL доступен только после того, как выбран сертификат. Параметр RDP Security layer обеспечивает стандартное для продуктов Microsoft шифрование данных, которое применялось в прошлых версиях RDP.

Читайте также:  Input not support при запуске компьютера

Тестируем соединение

После того как сервер терминала будет настроен на использование SSL, можно подключиться к серверу с рабочих станций. На экране 4 показан образец предупреждения, выдаваемого, если вместо указанного в сертификате полного имени домена введен IP-адрес сервера и если клиент не доверяет CA, выдавшему серверу сертификат.

Экран 4. Образец уведомления безопасности

Следует всегда использовать полное имя сервера терминала в клиенте Remote Desktop Connection для безошибочного подключения. Предупреждение также указывает, что с сертификатом сервера не все в порядке. В действительности это не так; просто клиент не доверяет CA, выдавшему сертификат серверу. Обойти эту проверку и установить соединение нельзя, так как клиент Remote Desktop Connection установлен в режим Require authentication.

После загрузки и установки корневого сертификата центра сертификации на рабочей станции и ввода FQDN-сервера в клиенте Remote Desktop Connection будет установлено безопасное SSL-соединение с сервером. На безопасное соединение указывает маленький значок замка в правом верхнем углу экрана. Щелкнув на значке, можно получить информацию о сертификате сервера.

RDP with SSL — удачное дополнение Windows 2003 SP1, мало рекламируемое Microsoft. Полезность новой функции ограничена из-за невозможности сервера терминалов сделать запрос сертификата клиента. Есть надежда, что этот недостаток будет устранен в RDP over HTTP для Longhorn Server.

Рассел Смит — Независимый ИТ-консультант. Работает в области ИТ в течение пяти лет, специализируется на управлении системами. rms@russell-smith.net

Моментальный снимок решения

Задача: дать пользователям возможность проверить подключение к доверенному серверу Windows Terminal Services; обеспечить надежное принудительное шифрование RDP-трафика.

Решение: использовать SSL-функцию клиента Remote Desktop Connection в Windows 2003 SP1 и более поздних версиях ОС для проверки подлинности сервера и шифрования трафика.

Требуемые ресурсы: Windows 2003 SP1 или более поздняя версия ОС на сервере терминала; XP или Windows 2000 на клиентских ПК.

Уровень сложности: ***00.

  1. Установить и настроить программное обеспечение RDP-клиента на клиентской системе.
  2. Настроить клиентский компьютер на доверие к сертификатам, выданным CA корпоративной сети.
  3. Запросить сертификат для сервера терминала.
  4. Настроить сервер терминала на использование SSL.
  5. Протестировать соединение.

Поделитесь материалом с коллегами и друзьями

Продолжение. Начало см. здесь.

Вкладка «Сеансы» параметров подключений RDP-Tcp

Третья вкладка, которая рассматривается в рамках текущей статьи – это вкладка «Сеансы». Для чего нужна эта вкладка? В данном случае, сеанс служб удалённых рабочих столов обеспечивает доступ к рабочему столу, к которому будет подключаться пользователь. Естественно, если пользователь открывает RemoteApp-приложение, то открытие его тоже будет считаться сеансом, однако, в данном случае, рассматривается именно сеанс подключенного удаленного сервера.

Здесь, на вкладке «Сеансы», вы можете задать параметры времени ожидания для отключенного сеанса. Помимо этого вы можете указать временные ограничения для бездействующего и активного сеансов и помимо всего этого, определить сами действия, которые будут в этом случае выполняться. Как можно заметить на иллюстрации, здесь, возле нескольких опций есть флажки «Заменить параметры пользователя». Для чего же может быть предназначена эта опция?

Рис. 1. Вкладка «Сеансы» параметров подключений RDPTcp

Тут все просто: изначально, все эти параметры определяются в свойствах учетной записи в доменных службах Active Directory и, соответственно, чтобы предопределить это значение, вам следует устанавливать соответствующий флажок. В принципе, остальные параметры понятны и без каких-либо дополнительных разъяснений, поэтому, пожалуй, следует перейти к редактору управления групповыми политиками и самим параметрам групповой политики, соответственно. За настройки, определяемые на данной вкладке диалогового окна параметров подключений RDP-Tcp, отвечает очередной узел, а именно узел «Ограничение сеансов по времени». Здесь, как вы, скорее всего, заметили на предыдущей иллюстрации, можно обнаружить всего лишь четыре параметра политики. Рассмотрим, где можно настроить каждый параметр при помощи групповой политики.

На вкладке «Сеансы», первый доступный параметр отвечал за максимальный промежуток времени, в течение которого отключенный сеанс на сервере оставался открытым. Ведь на самом деле, когда пользователь отключается от сеанса, запущенные программы все еще какое-то время продолжают работать. При помощи параметра политики «Задать ограничение по времени для отключенных сеансов», вы можете указать промежуток времени в минутах, часах или днях, на протяжении которого открытые программы будут продолжать работать. Например, чтобы пользователи не ощутили какого-то дискомфорта во время рабочего дня, можно установить переключатель на опцию «Включить» и из соответствующего раскрывающегося списка выбрать значение в восемь часов. Диалоговое окно данного параметра политики изображено ниже:

Рис. 2. Определение промежутка времени до отключения сеанса

После рассмотренного выше параметра, на вкладке «Сеансы» располагается управляющий элемент, отвечающий за ограничение активного сеанса. Ведь, по сути, сеанс не должен быть активным в режиме 24 на 7. Следовательно, при помощи параметра политики «Задавать ограничение по времени для активных сеансов служб удаленных рабочих столов» вы можете задать это ограничение, причем, за две минуты до отключения пользователю будет предоставлено предупреждающее сообщение, чтобы он смог сохранить все выполненные за время подключения изменения. Например, можно установить переключатель на опцию «Включить» и указать значение равное двенадцати часам.

Сеанс может быть не только активным, но еще и бездействующим. Бездействующим сеансом считается тот сеанс, когда удаленный рабочий стол начинает простаивать без каких либо операций ввода со стороны пользователя перед тем, как он отключится. Пользователь может подключиться к удаленному рабочему столу, а затем по завершении рабочего дня как пионер быстренько собраться и убежать домой. В таком случае у нас получится именно бездействующий сеанс. Ну а чтобы пользователь смог продолжить выполнять свои задачи на удаленном сервере, когда придет на работу, следует указать максимальный промежуток времени до отключения самого сеанса. Предположим, что пользователь мог закончить свою работу часа в 3 дня, а на работу ему следует попасть в 10 утра. Соответственно, если в параметре политики «Задать ограничение времени для активных, но бездействующих сеансов удаленных рабочих столов» установить период бездействия, равным 18 часам, пользователь по приходу на работу останется довольным. Диалоговое окно этого параметра политики на следующей иллюстрации:

Рис. 3. Ограничение для бездействующего сеанса

И вот, остался последний параметр политики, который называется «Завершать сеанс при достижении времени» и отвечает этот параметр за действие, которое будет выполняться при превышении указанных вами ограничений или же при разрыве подключения. Соответственно, установив переключатель на опцию «Включить», сеанс будет завершаться, а если же вы оставите значение не тронутым или установить переключатель на опцию «Отключить», сеанс будет просто отключаться. В данном случае, установим переключатель на опцию «Отключить» и перейдем уже к следующей вкладке свойств подключений RDP.

Вкладка «Среда» параметров подключений RDP-Tcp

На четвертой вкладке диалогового окна свойств подключения RDP-TCP, вы можете указать, следует ли всегда при подключении показывать лишь пустой рабочий стол или же нужно сразу запустить какую-то определенную программу. Как можно заметить на следующей иллюстрации, вы можете выбрать лишь одно действие, так как значения этих параметров не могут быть использованы совместно.

Рис. 4. Вкладка «Среда» параметров подключений RDPTcp

И снова перейдем к оснастке «Редактор управления групповыми политиками». За параметры, расположенные на данной вкладке отвечают два параметра политики, которые можно обнаружить в узле «Среда удаленных сеансов». Один из них – это параметр политики «Всегда отображать рабочий стол». Думаю, никаких объяснений, по сути, тут не нужно. Если параметр политики включен, то, естественно, при подключении пользователь увидит лишь рабочий стол, и у него автоматически не будут запускаться какие-либо приложения. Если параметр отключить, то выбрать данный параметр при помощи графического интерфейса будет невозможно. Тут обязательно нужно обратить внимание на то, что этот параметр политики превалирует над следующим рассматриваемым параметром и если его включить, то вы уже не сможете определить программу, которая будет автоматически запускаться. Соответственно, если нужно запускать какую-то программу, то следует установить переключатель на опцию «Отключить».

Читайте также:  Расположите в порядке уменьшения

Второй параметр политики, который будет рассмотрен в данном разделе – это «Запускать программу при подключении». Как и в случае с предыдущим параметром политики, тут сразу все понятно. Просто, следует установить переключатель на опцию «Включить» и в соответствующем текстовом поле указать путь к какому-то приложению, например, пусть это будет командная строка. Следовательно, в текстовом поле «Путь к программе и имя файла» следует указать «%windir%system32cmd.exe», как показано на следующей иллюстрации:

Рис. 5. Определение автоматически запускаемого приложения

Вкладка «Удаленное управление» параметров подключений RDP-Tcp

Переходим к пятой вкладке свойств подключения. Это вкладка «Удаленное управление», при помощи которой вы можете определить полномочия администратора, относительно сеанса пользователя. У любого пользователя при работе с удаленным сервером, за которым они работают при помощи удаленного подключения, могут возникнуть какие-то проблемы и тут, естественно, понадобится помощь администратора. По умолчанию, администратор может подключаться к пользовательскому сеансу, но только с согласия пользователя. Именно при помощи возможностей данной вкладки, вы можете определить, может ли администратор подключаться к пользовательской сессии и, если может, то предоставляется ли ему разрешение на управление сеансом или же можно будет только наблюдать за всем происходящим. При этом, можно сделать так, чтобы администратор мог подключаться как с согласием на это пользователя, так и без его согласия.

Рис. 6. Вкладка «Удаленное управление» параметров подключений RDPTcp

По вполне понятным причинам, эти же настройки вы можете указать и при помощи возможностей групповой политики. Для этого в редакторе управления групповыми политиками следует перейти к узлу «Подключения» и выбрать параметр политики «Устанавливает правила удаленного подключения для пользовательских сеансов служб удаленных рабочих столов». Если установить переключатель на опцию «Включить» и развернуть раскрывающийся список, который видно на очередной иллюстрации, можно заметить, что каждое действие, которое вы могли указать при помощи соответствующей вкладки, можно определить всего лишь средствами одного параметра. То есть, вы можете, как запретить администраторам подключаться, так и дать им полный контроль с или без запроса или же разрешить только подглядывать за пользователями. В данном случае, будет выбрано значение «Полный контроль с разрешения клиента» и далее можно переходить к очередной вкладке свойств подключения.

Рис. 7. Предоставление полномочий администратора относительно сеанса пользователя

Вкладка «Параметры клиента» параметров подключений RDP-Tcp

Шестая вкладка данного диалогового окна позволяет вам указать глубину цвета на удалённом компьютере, а также определить возможности перенаправления некоторых локальных устройств во время подключения к серверу удаленного рабочего стола. Здесь, кстати, стоит обратить внимание на то, что если вы установите соответствующие флажки, то возможность перенаправления выбранного компонента будет отключена, а не перенаправлена. Обязательно это учтите при проектировании. При помощи данной вкладки вы можете отключить возможность перенаправления для локальных дисков клиентского компьютера, принтеров, которые установлены на пользовательском компьютере, LPT- и COM-портов, буфера обмена, взаимодействия с аудио устройствами, а также Plug and Play устройств. Вот так выглядит эта вкладка:

Рис. 8. Вкладка «Параметры клиента» параметров подключений RDPTcp

Естественно, такую возможность можно настраивать и при помощи групповой политики. Для настройки этих компонентов следует перейти к узлу «Перенаправление устройств и ресурсов» редактора и выбрать требуемый параметр. В этом узле можно обнаружить десять параметров политики, при помощи которых вы можете отключить или же наоборот, включить возможность перенаправления определенного компонента. Например, в данной статье будут рассмотрены перенаправление буфер обмена, а также возможность перенаправления видео и аудио. Для этого необходимо, открыть параметр политики «Не разрешать перенаправление буфера обмена» и установить переключатель на опцию «Отключить». После этого требуется выполнить такие же действия с параметром политики «Не разрешать перенаправление звука и видео».

Также, при помощи групповой политики можно установить глубину цвета, например, равную 32 битам на точку. Этот параметр можно найти в другом узле, а именно он расположен в узле «Среда удаленных сеансов» и называется «Наибольшая глубина цвета». Соответственно, установите переключатель на опцию «Включить» и из раскрывающегося списка «Глубина цвета» выберите значение «32 бит». Диалоговое окно данного параметра политики изображено на следующей иллюстрации:

Рис. 9. Определение глубины цвета

Вкладка «Сетевой адаптер» параметров подключений RDP-Tcp

Очередная, седьмая вкладка рассматриваемого в данной статье диалогового окна, называется «Сетевой адаптер» и она предназначена для ограничения использования сетевого адаптера, а также отвечает за максимальное количество подключений к данному узлу сеансов удаленных рабочих столов. Как можно заметить на следующей иллюстрации, из раскрывающегося списка, вы можете выбрать прослушиваемый сетевой адаптер, а нижний контрол отвечает за количество подключений:

Рис. 10. Вкладка «Сетевой адаптер» параметров подключений RDPTcp

А вот, в отличие от большинства параметров, при помощи функциональных возможностей групповой политики вы можете указать лишь максимальное количество подключений. Для этого нужно перейти к узлу «Подключения», а затем открыть диалоговое окно свойств параметра политики «Ограничить количество подключений». В отобразившемся диалоговом окне установите переключатель на опцию «Включить», а затем при помощи соответствующего управляющего элемента укажите максимальное количество подключений. Например, пусть оно равняется 50, как видно ниже:

Рис. 11. Определение максимального количества подключений к узлу сеансов удаленных рабочих столов

Вкладка «Безопасность» параметров подключений RDP-Tcp

Последняя, рассматриваемая в текущей статье, восьмая вкладка, к сожалению, нас не сильно интересует, так как при помощи ее возможностей вы можете указать пользовательские разрешения, для определения того, какие группы пользователей или же какие пользователи могут выполнять определенные задачи на сервере удаленных рабочих столов. Почему же так, если все предыдущие вкладки были рассмотрены подробно? Во-первых, данная вкладка уже ни один раз рассматривалась в моих статьях, а во-вторых, что самое важное, для возможностей редактирования прав пользователей не существует какого-либо параметра политики.

Однако, при помощи параметра политики «Не разрешать локальным администраторам настраивать разрешения» из узла «Безопасность», вы можете запретить вносить какие-либо изменения на данной вкладке. Эффект применения этого параметра изображен на следующей иллюстрации:

Рис. 12. Вкладка «Безопасность» после настроенного параметра групповой политики

Заключение

В принципе, существует еще много параметров, как в графическом интерфейсе самих удаленных рабочих столов, так и самих параметров групповой политики, которые позволяют централизовано настраивать такие серверы. К таким параметрам можно отнести перенаправление принтеров, настройки служб лицензирования, посредника подключений к удаленному рабочему столу, параметры профилей и многое другое. Однако, эти параметры будут рассмотрены в последующий статьях данного цикла, посвященного серверам удаленных рабочих столов.

В свою очередь, в данной статье вы узнали о том, каким образом можно настроить параметры подключений RDp-Tcp на узле сеансов удаленных рабочих столов как при помощи графического интерфейса, так и, средствами функциональных возможностей групповой политики.

Ссылка на основную публикацию
Adblock detector