医治Server 2003终端服务之痛

  Windows Server 2003是当前使用最普遍的终端服务器平台，但是在使用过程中会遇到这样那样的问题。下面笔者结合自身实践，列举三例比较典型的终端服务之痛，和大家探讨医治之道。

　　1、医治“终端安全登录”之痛

　　部署终端服务器后，出于安全考虑我们不希望某些用户进行远程登录到终端服务器。Server 2003平台的终端服务器默认情况下一个用户可以在两个客户端进行远程登录。在某些特殊的情况下，我们只希望某个帐户只能进行一个远程登录。以上的两个应用需求是很多管理员遇到并且比较困惑的。下面笔者分别叙述其实现方法。

　　(1).限制某些用户登录终端服务器，这在Server 2003上是非常容易实现的。在通常情况下，我们的终端服务使用的都是远程桌面模式，客户端通过远程桌面登录到终端服务器。因此我们可以从远程桌面入手进行用户登录的限制，只给一些用户登录权限，对应的其他用户也就没有权限了。

　　右击“我的电脑”选择“属性”打开“系统属性”窗口，点击“远程”选项卡，在“远程桌面”下勾选“启用这台计算机上的远程桌面”，开启远程桌面。然后点击“选择远程用户”按钮，然后点击“添加”按钮根据事先指定的策略添加自己授权的可以进行远程桌面连接的用户。比如我们授权lw用户，只需在“输入对象名称来选择”下输入即可，当然也可以点击“高级”按钮，通过“立即查找”功能添加系统中存在的用户。(图1)

   

    
    默认情况下，administrator用户拥有登录权限的，有时我们为了安全防止攻击者尝试用其登录登录终端服务器。那如何禁止administrator远程登录终端服务器呢?最极端的方式是禁用administrator用户，在命令提示符下输入命令:net user administrator /active:no即可。还有可以通过组策略为administrator改名(计算机配置→Windows设置→安全设置→本地策略→安全选项→帐户：重命名系统管理员)。笔者推荐的做法是通过组策略取消administrator登录终端服务器的权限，其组策略位置是：计算机配置→Windows设置→安全设置→本地策略→用户权限分配，双击“通过终端服务允许登录”，选择administrators用户，点击删除，然后添加许可的用户即可。这样，当别人恶意尝试登录终端服务器的时候会弹出如图的警告，拒绝登录。(图2)

 

   

    
    (2).要实现一个用户只能进行一次终端登录，我们可以通过对终端服务器的设置来实现，操作步骤是：点击“开始”，依次定位到“控制面板→管理工具→终端服务配置”，单击“服务器设置”在详细信息窗格中，右键单击“限制每个用户使用一个会话”，然后单击“属性”。勾选“限制每个用户使用一个会话”复选框，然后单击“确定”即可。(图3)

 

   

　　通常情况下，企业中有多个管理员，他们都有权限可以登录到终端服务器。默认情况下，administrator的远程桌面连接数2个。如果此时正好有两个管理员远程桌面连接到终端服务器，那么第三个管理员就不能登陆，会提示“终端服务器超出了最大允许连接数”，无法进行登录。(图4)

 

 

    
    另外，某些管理员远程登录结束后不是按照常规做法从终端服务器中注销用户，而是直接端口连接。这样的话，虽然远程用户已经断开了与终端服务器的远程桌面连接，但是session(会话)还停留在服务器端，也会有上面的提示造成无法登录。

　　对于这一问题就笔者所知有四种解