欢迎光临,这里是 gOxiA=苏繁=SuFan 独立的个人博客。
本站域名:http://goxia.maytide.net or http://sufan.maytide.net
移动设备请访问:http://goxia.maytide.net/m
转载文章,请务必保留出处与作者信息,未经许可严禁用于商业用途!

logo_winserver2012

HOWTO: 取消 Windows Server 2012 RDP 限制每个用户只能进行一个会话

        在 Windows Server 2008 / 2008 R2 上,如果 IT 管理员希望多个远程用户使用同一个账号同时访问服务器的 Remote Desktop(RDP),只需通过管理工具-远程桌面下的“远程桌面会话主机配置”进行设置即可。如下图所示:

image_thumb

        但是在 Windows Server 2012 下会发现系统默认并未提供这个配置工具,除非手工通过添加角色和功能进行添加方可。作为服务器环境最少的角色和功能当然是最明智的选择,所以如果要取消 Windows Server 2012 RDP 限制每个用户只能进行一个会话,完全可以使用组策略编辑器来解决。

        首先运行 gpedit.msc,找到“计算机配置”-“管理模板”-“Windows 组件”-“远程桌面服务”-“远程桌面会话主机”-“连接”-“将远程桌面服务用户限制到单独的远程桌面服务会话”将该选项禁用,最后执行 gpupdate/force 即可。

image_thumb[1]

Remote Desktop Connection Manager

[ 2010/07/01 17:03 | by gOxiA ]

        作为一名系统管理员平常要管理维护着多台服务器,对于 Windows 我们通常使用 Remote Desktop 来管理服务器。虽然到目前为止 Windows 7 内置的 Remote Desktop Connection 已经非常强大,我们能够记录要连接每台服务器的认证信息,屏幕分辨率以及资源访问配置信息,但是当我们要经常在数个远程桌面间切换就显得比较麻烦了,主要还是因为界面不直观。

        过去在 Windows XP 下 gOxiA 把每个连接过的 RDC 都单独存为一个 RDP 文件,存储在一个特定目录,然后再任务栏上载入这个目录,进行快速的连接 RDP。到了现在的 Windows 7,gOxiA 开始采用如下方式快速访问 RDP,也就是利用 JumpList 功能将常用的 RDP 锁定到列表中,但是所能存放的列表数可能无法满足那些管理大量服务器的 ITPro。

StartMenu

        目前微软发布了一款小工具 Remote Desktop Connection Manager(RDCMan),当前最新版本是 v2.2。 通过这款软件,我们便可以轻松的管理和访问数个RDP。如下图所示,左边的列表中我们可以创建总的分区列表(即 RDCMan Group),该列表保存采用的是RDG扩展名,使用时通过“File”菜单下的“Open”调用这个文件即可。这样一来我们可以将所管理的远程连接信息和配置快速的转移到其他装有 Remote Desktop Connection Manager 的机器上使用。在 RDCMan Group 下我们还能够创建分组,并在分组下创建服务器连接。而右边的内容窗体则显示了 RDP 连接状态,就像一个监控矩阵。更有意思的是,监控矩阵模式下的 每个连接是可以直接进行操作的,也就是说你把鼠标移动到一个 RDC 中就可以直接操作其桌面,不过需要你的眼力非常好,毕竟界面太小。双击它就可以将当前远程桌面填充到整个内容窗体中。此外,我们也可以鼠标右键选择 Unlock 将当前 RDC 打开到一个独立的窗体中,使操作更加灵活、直观。

RDCMan

        RDCMan 提供了丰富的设置内容,满足我们的设置需求。如果你也正通过远程桌面来管理着多台服务器,不妨试试这款免费的小软件。其下载地址是:http://www.microsoft.com/downloads/details.aspx?FamilyID=4603c621-6de7-4ccb-9f51-d53dc7e48047&displaylang=en

        最后友情提示,RDCMan 需要 Remote Desktop Connection 为 6 或更高的版本支持。

        从 Windows Vista、Windows Server 2008 开始,远程桌面协议(Remote Desktop Protocol,简称 RDP)开始支持网络级身份验证(Network Level Authentication,简称 NLA)。通过启用 NLA,我们的 RDP 将更加坚固,当客户端进行 RDP 登录时将不再会先显示出远程系统的登录界面,并须在客户端得到正确的登录验证后,方能成功并直接登录到系统桌面。这样一来,除了避免的一些信息的泄漏,还有效地防止了远程客户端的恶意穷举。如下图所示,我们只需要在“远程设置”中,启用“只允许运行带网络级身份验证的远程桌面的计算机连接”即可!

1

        一旦在服务器端的 RDP 服务上启用了 NLA,并且客户端是 Windows Vista 或以上版本,那么我们可以通过 Remote Desktop 直接登录,否则正如下图所示,即使在安装了最新版本 Remote Desktop 的 Windows XP SP3 上进行远程桌面访问还是会提示错误。(PS:不必惊慌而忙于通知相关人员在本地禁用 NLA。)

2

        要验证当前的 Remote Desktop Connection(RDC)是否支持 NLA(网络级别的身份验证),我们只需要打开 RDC,单击左上角的图标点击关于,我们便可以查看到当前 RDC 的版本及 NLA 信息。注意:当前的 Remote Desktop Connection 支持 RDP 6.1。

3 4

        其实在 Windows XP SP3 上启用 NLA 支持,并非难事。只需要对注册表进行修改即可,再执行下面的步骤前建议你先对注册表进行备份。

  1. 单击“开始”-“运行”,键入 regedit
  2. 定位至“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”,在右边窗体中双击打开“Security Packages”值,添入“tspkg
  3. 定位志“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders”,在右边窗体双击打开“SecurityProviders”值,添入“, credssp.dll”,特别注意在英标逗号后面有一个空格

        在修改注册表后需要重新启动计算机,如果在未重启计算机前进行 RDP 的连接,会出现 Remote Desktop 的“0x507”错误。

5

        如果大家感觉很麻烦的话,gOxiA 制作了在 Windows XP SP3 上启用 NLA 的注册表脚本,只要在本机上双击导入即可,非常方便!出于安全角度考虑,如果你不希望别人知道你当前服务器的操作系统版本,不希望别人看到你启动前后的补丁安装进度,并且服务器正在使用 Windows Server 2008 操作系统,gOxiA 强烈建议启用 NLA 支持的 RDP。

下载:Enable Network Level Authentication

分页: 1/1 第一页 1 最后页 [ 显示模式: 摘要 | 列表 ]