Apropo, înainte de a începe, asigurați-vă că aveți licențe CAL (Licență de Acces Terminal Services Client) - altfel, după o implementare reușită, nimeni nu poate stabili o conexiune. Acum conectați computerul care rulează Terminal Services la domeniul Active Directory® și conectați-vă cu un cont care are privilegii de administrator de domeniu. Va fi dificil să continuați implementarea fără a avea acces la domeniu, deoarece nu veți avea capacitatea de a aplica politicile de grup. În acest articol, serverul pe care sunt instalate Terminal Services va fi numit TS01.
Apoi, porniți modulul Active Directory Users and Computers din setul de instrumente administrative și creați un OU nou în care va fi găzduit serverul terminal. Din motive de simplitate, să oferim acestui OU un nume de plată pentru originalitate Terminal Servers (Terminal Servers). Localizați serverul terminal numit TS01 și mutați-l la noua subdiviziune a serverelor terminale.
Din fereastra "Administrare", porniți consola GPMC și localizați noua subdiviziune a serverelor terminale în partea stângă a ferestrei "Gestionarea politicii de grup". Faceți clic cu butonul din dreapta pe această unitate organizațională, selectați "Creați și conectați GPO", după cum se arată în Fig. 1 și dați-i un nume practic, de exemplu, politica serverului Terminal # 1.
Fig. 1 Creați și legați un nou GPO (faceți clic pe imagine pentru o vizualizare mai mare)
Magic, grupul Utilizatori autentificați este afișat în zona Filtre de securitate din partea dreaptă a ferestrei GPMC. Acest grup este adăugat în mod implicit tuturor obiectelor de politică de grup (GPO) în mod implicit. Faceți clic pe acest grup, apoi faceți clic pe butonul Ștergere. În schimb, trebuie să configurați grupul Terminal Services din arborele Active Directory la care vor fi aplicate obiectele GPO la înregistrarea utilizatorilor pe TS01. Să oferim grupului Terminal Services numele de BottleWashers. Continuați și adăugați-le în structura Active Directory, utilizând modulele Active Directory Users and Computers din uneltele de administrare. Grupul BottleWashers va trebui, de asemenea, să fie adăugat la grupul de utilizatori la distanță de pe TS01 și pe orice alt terminal terminal care este instalat.
Acum mergeți la fila "Domeniul de aplicare". Faceți clic pe butonul Adăugați în zona Filtre de securitate, apoi adăugați grupul BottleWashers. Grupul BottleWashers obține în mod automat drepturile de a citi și de a aplica politica de grup la obiectul Terminal Server Policy # 1. Aceste două permisiuni reprezintă drepturile implicite pentru politica de grup și sunt necesare pentru toate politicile aplicate obiectului.
Apoi adăugați serverul TS01 în zona "Filtre de securitate". Pentru a efectua această operație este necesar un pas suplimentar. Mai întâi, dați clic pe "Adăugați", apoi în rubrica "Tipuri de obiecte", bifați caseta de selectare din fila "Computere"; altfel, GPMC nu va putea găsi TS01 în Active Directory. Rezultatul final ar trebui să arate ca în Fig. 2.
Fig. 2 Adăugați TS01 în zona "Filtre de securitate"
Drepturile politicii corecte sunt, de asemenea, aplicate automat la TS01 când este adăugat la zona "Filtre de securitate". În acest moment, este logic să selectați fila "Delegare" din partea dreaptă sus a ecranului GPMC și apoi să găsiți grupul "Domain Admins", a cărui listă este, de asemenea, afișată pentru fiecare politică nouă în mod implicit. Faceți clic pe butonul Avansat din colțul din dreapta jos al ecranului.
În mod esențial, schema de licențiere pentru fiecare utilizator permite utilizatorului să utilizeze o singură licență de server terminal, indiferent de numărul de dispozitive (PC-uri) la care utilizatorul se conectează.
Dacă domeniul nu are încă un server cu licență de server terminal, căutați un server din domeniu care să poată prelua acest rol. Deși această funcție este acceptată, TS01 nu ar trebui să fie folosit ca server de licențiere, deoarece dacă serverele terminale suplimentare apar mai târziu în cadrul întreprinderii, stabilitatea infrastructurii la defecțiuni nu va crește. Pe serverul pe care intenționați să îl creați, deschideți panoul de control. Faceți clic pe Adăugare sau eliminare programe | "Componente Windows" "Licențierea Terminal Server" și urmați instrucțiunile de pe ecran pentru a activa serverul de licențe. La sfârșitul procedurii, selectați "Start" | "Rulați" și introduceți:
Această comandă deschide copacul "Configurație server terminal" \ "Setări server". În acest arbore, selectați "Setări server" | "Licențiere" și selectați "Pentru utilizator" sau "Pentru dispozitiv". Opțiunea implicită este "Per Device". Dacă există deja un server cu licență de server terminal în domeniu, politica serverului Terminal # 1 va avea un parametru care indică faptul că serverului i se atribuie un rol de server de licență. După finalizarea acestei sarcini, selectați "Start" | "Rulați" și introduceți:
Este extrem de important să vă amintiți că nu ar trebui să includeți politicieni fără un sistem, neștiind exact ce face fiecare dintre ei, altfel puteți obține rezultate neplanificate. Abordarea optimă este de a administra mai multe politici importante și testarea ulterioară pe scară largă într-un mediu de laborator.
Prima, poate, este să activezi politica de închidere. Pentru ao activa, porniți GPMC, localizați obiectul Terminal Server Policy # 1, faceți clic dreapta pe obiect și selectați "Edit". Navigați la nodul Configurare computer | "Șabloane de administrare" Sistema | "Politica de grup" și activați opțiunea "Mod de procesare a închiderii politicii grupului". După ce activați această politică, trebuie să setați o valoare pentru setarea Mod: Înlocuire sau Merge. Pentru performanța optimă a serviciilor Terminal Services, selectați "Înlocuire".
Apoi, trebuie să activați opțiunea serverului terminal "Adăugați un grup de administratori pentru profiluri de utilizatori în roaming", care este localizat în nodul "Configurație computerizată" \ "Șabloane administrative \" "Sistem" \ "Profiluri utilizator". Această opțiune oferă administratorului un control complet și permanent asupra tuturor dosarelor de profil ale utilizatorilor. Ar trebui instalat cât mai curând posibil, deoarece nu se aplică dacă folderele au fost deja create după prima conectare a utilizatorului (a se vedea Figura 3).
Fig. 3 Activarea "Add Administrators Group" (Faceți clic pe imagine pentru o vizualizare mai mare)În secțiunea "Configurarea computerului" \ "Șabloane de administrare" \ "Componente Windows \", secțiunea "Servicii Terminale" prezintă o serie de politici. Luați în considerare următoarele:
• "Restricționați utilizatorii serviciilor Terminale la o singură sesiune la distanță"
• "Setați calea pentru profilurile de roaming TS"
• "Directorul de domiciliu al utilizatorului Terminal Server"
Rețineți, totuși, că restricționarea utilizatorilor de servicii Terminal Services la o singură sesiune de la distanță nu împiedică utilizatorul să intre în mod repetat în sistem, așa cum s-ar aștepta. De fapt, atunci când un utilizator încearcă să înceapă oa doua sesiune de servicii terminale, pur și simplu continuă prima sesiune pe care a început-o.
Profilurile de roaming sunt un element important al funcționării corecte a serverului terminal. În mod implicit, atunci când utilizatorul se conectează la serverul terminal, un profil local este creat pe unitatea serverului terminal C: chiar dacă unitatea C: este ascunsă de utilizatori. În mod implicit, comportamentul față de profilul de roaming este sincronizarea profilului local cu resursa partajată a profilurilor de roaming în rețea atunci când utilizatorul se deconectează de la sistem. Puteți să configurați Politica de grup pentru a șterge acest profil local atunci când un utilizator se deconectează de la sistem.
Următoarele două politici privind serviciile Terminale menționate mai sus, "Setați calea pentru profilurile de roaming TS" și "Terminal Server user home directory", sunt asociate profilurilor de roaming. Acești parametri sunt de multe ori codificați cu greu în câmpul "Cale Profil de servicii terminale" al utilizatorului Active Directory. O modalitate mult mai simplă și mai preferabilă este de a configura căi pentru serviciile terminale prin intermediul politicilor de grup. În cazul căilor de profil ale serviciilor Terminal în modulul Active Directory Users and Computers, dacă configurați un utilizator nou sau copiați un utilizator existent, trebuie să adăugați informații despre calea profilului serverului TS de fiecare dată manual, ceea ce este extrem de greoaie. Este mult mai convenabil să configurați căi către o rețea comună de resurse și să utilizați un GPO pentru a le configura.
Avantajul componentei "Folder Redirection" este că nu este nevoie să copiați întregul profil de utilizator de fiecare dată când vă conectați sau ieșiți din sistem. Serviciile Terminal detectează prezența acestor foldere în rețea și, de fapt, le oferă pur și simplu un indicator.
Setările pentru componenta Redirecționare a folderelor se află în nodul Configurare utilizator \ Configurare Windows \ Redirecționare folder (a se vedea Figura 4). Valorile din dosarul "Redirecționare folder" sunt extrem de naturale. Probabil că trebuie să ștergeți toate casetele de selectare pentru redirectorul de dosare cu numele "Drepturi de acces exclusive", altfel administratorii nu vor putea accesa aceste dosare.
Fig. 4 Localizarea "Redirecționării folderului"
Instalarea Microsoft Office
După despachetarea primului fișier, ORKSP2AT.exe, obțineți un set de fișiere. Pentru dvs., fișierele office11.adm și outlk11.adm sunt importante (a se vedea Figura 5).
Fig. 5 Fișiere șablon Office
Porniți Windows Explorer și copiați cele două fișiere la% systemroot% \ inf. Apoi, porniți GPMC din nou. Printre obiectele de politică de grup, găsiți obiectul Profilul terminal # 1, faceți clic dreapta pe obiect și selectați "Editare". Acum mergeți la nodul "Computer Configuration" \ "Administrative Templates" din politica specificată. Faceți clic dreapta pe Șabloane de administrare și selectați Adăugare sau eliminare șabloane, după cum se arată în Fig. 6.
Fig. 6 Adăugarea de șabloane administrative la un GPO
În acest articol, nu voi discuta mai mulți parametri, ia în considerare numai acele două pe care probabil că trebuie să le eliminați: "Asistent" și "AutoArchive Outlook". Rețineți că unele setări, cum ar fi "Modul cached Exchange" și "Filtrarea e-mailurilor nedorite" sunt dezactivate implicit în Terminal Services, deci nu este necesar să dezactivați aceste politici.
Pregătiți un fișier PRF pentru Outlook utilizând Expertul de instalare personalizată. De fapt, nu este nevoie să efectuați întreaga procedură a Expertului de instalare personalizată, ci doar să faceți partea necesară pentru a exporta fișierul PRF modificat. Acesta include doar câteva operații.
Acum mergeți direct la cea de-a 17-a din cele 24 de pagini ale Expertului de instalare personalizată pentru a sări peste unele operații de instalare personalizate și doar pentru a crea un fișier PRF. La pasul 17, selectați "Profil nou" și atribuiți-i un nume, de exemplu Outlook, apoi faceți clic pe butonul "Înainte". Este afișat ecranul pentru selectarea serverului Exchange (așa cum se arată în Figura 7). Introduceți numele serverului Exchange și faceți clic pe Următorul pentru a continua procedura.
Fig. 7 Configurarea unei conexiuni Exchange Server
În acest moment, trebuie să creați un fișier batch și să îl plasați în partajarea Netlogon de pe controlerul de domeniu, nu pe serverul TS01. Acest fișier lot va rula toate mapările necesare și va configura fișierul PRF pentru implementare. Această sarcină facilitează scripturile WMI scrise de mine. Cu toate acestea, aceste scenarii ar trebui utilizate doar ca ghid; acestea vor trebui să introducă date relevante pentru situația specifică. Dacă doriți, puteți utiliza un alt motor de script, similar cu KiXTart.
Următoarele rânduri ar trebui să fie prezente în fișierul batch (logon.bat):
REM Logon.bat
@echo off
wscript% 0 \ .. \ clean.vbs
wscript% 0 \ .. \ outlook.vbs
Fișierul Clean.vbs oferă eliminarea cheii de registry First-Run astfel încât Outlook să efectueze procesarea fișierului PRF:
„Clean.vbs
Const HKEY_CURRENT_USER = # 038; H80000001
sComputer = "."
Setați oRegistry = GetObject ("winmgmts:" # 038; _
sComputer # 038; "\ root \ implicit: StdRegProv")
sKeyPath = "Software \ Microsoft \ Office \ 11.0 \
Outlook \ Setup "
sValueName = "Primul-Run"
oRegistry.DeleteValue HKEY_CURRENT_USER, sKeyPath, _
sValueName
Outlook.vbs adaugă partiția de instalare Outlook necesară pentru registry pentru fiecare utilizator de server terminal. În parametrul SValue =, trebuie să specificați calea folosită și să nu uitați să adăugați fișierul PRF configurat curent în directorul actual al rețelei:
Schimbați această cale și puneți fișierul Outlook.prf în ea:
„Outlook.vbs
Const HKEY_CURRENT_USER = # 038; H80000001
sComputer = "."
Setați oRegistry = GetObject ("winmgmts:" # 038; _
sComputer # 038; "\ root \ implicit: StdRegProv")
sKeyPath = "Software \ Microsoft \ Office \ 11.0 \ Outlook \
Setup "
oRegistry.CreateKey HKEY_CURRENT_USER, sKeyPath
sValue = "\\ Serv01 \ PRF \ Outlook.prf"
sValueName = "ImportPRF"
oRegistry.SetStringValue HKEY_CURRENT_USER, _
sKeyPath, sValueName, sValue
Înainte de a instala oricare dintre versiunile de Microsoft Office, trebuie să mutați serverul TS01 în modul de utilizare corespunzător. Există două opțiuni posibile: "Instalare" și "Execuție". Înainte de a începe instalarea oricărui software, trebuie să mergeți la modul "Instalare". Pentru a transfera serverul TS01 în modul de instalare, la promptul de comandă, tastați următoarea comandă:
C:> schimbare utilizator / instalare
Când instalarea este finalizată, întoarceți TS01 la modul de funcționare cu următoarea comandă:
C:> schimbați utilizatorul / executa
C:> schimbare utilizator / interogare
Dacă ajungeți în această etapă, atunci totul este în ordine. Acum, puteți merge la stația de lucru Windows client, faceți clic pe "Start" | "Run", apoi introduceți următoarea comandă:
Dacă trebuie să efectuați anumite sarcini administrative pe serverul TS01, cea mai bună opțiune este să utilizați următoarea comandă, deoarece simulează aceeași executare a operațiilor ca și cum ați fi fizic în spatele consolei:
Mstsc / consola
Când administrați diferite servicii de terminale, este posibil să fie necesar să utilizați utilitarul Remote Desktop Utility din setul de instrumente de administrare, deoarece toate serverele terminale la distanță pot fi adăugate într-un singur format copac.
Acum aveți o imagine completă a Terminal Services, astfel încât implementarea unui server terminal separat nu va fi dificil. Există încă multe domenii pentru examinare suplimentară, inclusiv setările de politică de grup și DFS, dar dacă vă amintiți principiile de bază, cum ar fi reținere în stabilirea de GPO și verificarea amănunțită a acestor obiecte înainte de a le utiliza în activitatea reală cu utilizatorii, atunci lucrurile vor merge bine.