Управление пользователями в коллекции RDS

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Как администратор, вы можете напрямую управлять тем, какие пользователи имеют доступ к определенным коллекциям. Таким образом, вы можете создать одну коллекцию со стандартными приложениями для информационных работников, а затем создать отдельную коллекцию приложений с интенсивным использованием графики моделирования для инженеров. Существует два основных этапа управления доступом пользователей в развертывании служб удаленных рабочих столов (RDS):

  1. Создание пользователей и групп в Active Directory
  2. Назначение пользователей и групп в коллекции

Создание пользователей и групп в Active Directory

В развернутом состоянии службы удаленных рабочих столов и доменные службы Active Directory (AD DS) являются источником всех пользователей, групп и других объектов в домене. Вы можете управлять Active Directory непосредственно с помощью PowerShell, или использовать встроенные средства пользовательского интерфейса, которые добавляют в процесс простоты и гибкости. Выполнение следующих условий позволит установить эти средства (если они все еще не установлены) и затем использовать эти инструменты для управления пользователями и группами.

Установите средства AD DS

Выполнение следующих условий позволит установить средства AD DS на сервер, на котором уже запущены AD DS. После установки можно создавать пользователей или группы.

  1. Подключитесь к серверу, на котором запущены доменные службы Active Directory. Для развертываний Azure:
    1. На портале Azure щелкните Обзор > Группы ресурсов, а затем щелкните "Группа ресурсов" для развертывания.
    2. Выберите виртуальную машину AD.
    3. Щелкните Подключить > Открыть, чтобы открыть клиент удаленного рабочего стола. Если кнопка Подключить отображается серым цветом, то виртуальная машина может не иметь общедоступного IP-адреса. Для этого выполните следующие шаги, а затем снова вернитесь к этому шагу.
      1. Щелкните Параметры > Сетевые интерфейсы и выберите соответствующий сетевой интерфейс.
      2. Щелкните Параметры > IP-адрес.
      3. Для параметра Общедоступный IP-адрес выберите Включено, а затем щелкните IP-адрес.
      4. Если у вас есть существующий общедоступный IP-адрес, который вы хотите использовать, выберите его в списке. В другом случае нажмите Создать, введите имя и нажмите ОК, а затем Сохранить.
    4. В окне клиента выберите Подключить, а затем нажмите кнопку Использовать другую учетную запись. Введите имя пользователя и пароль для учетной записи администратора домена.
    5. Нажмите кнопку Да в ответ на запрос о сертификате.
  2. Установите средства AD DS:
    1. В диспетчере серверов щелкните Управление > Добавить роли и компоненты.
    2. Выберите команду Установка ролей или компонентов, а затем выберите текущий сервер AD. Следуйте инструкциям, пока не перейдете на вкладку Функции.
    3. Разверните Средства администрирования удаленного сервера > Средства администрирования ролей > Средства AD DS и AD LDS, а затем выберите Средства AD DS.
    4. Выберите Автоматический перезапуск конечного сервера, если требуется, а затем нажмите кнопку Установить.

Создать группу

Вы можете использовать группы AD DS для предоставления доступа группе пользователей, которым необходимо использовать одни и те же удаленные ресурсы.

  1. В диспетчере серверов на сервере, на котором запущены AD DS, нажмите кнопку Инструменты > Active Directory — пользователи и компьютеры.
  2. Разверните домен на панели слева, чтобы просмотреть его вложенные папки.
  3. Щелкните правой кнопкой мыши папку, где вы хотите создать группу и нажмите кнопку Создать > Группа.
  4. Введите имя соответствующей группы, а затем выберите Global (Глобальная) и Security (Безопасность).

Создайте пользователя и добавьте его в группу

  1. В диспетчере серверов на сервере, на котором запущены AD DS, нажмите кнопку Инструменты > Active Directory — пользователи и компьютеры.
  2. Разверните домен на панели слева, чтобы просмотреть его вложенные папки.
  3. Щелкните правой кнопкой мыши Пользователи, а затем нажмите кнопку Создать > Пользователь.
  4. Введите как минимальное имя и имя пользователя для входа.
  5. Введите и подтвердите пароль для пользователя. Установите соответствующие параметры пользователя, например Пользователь должен сменить пароль при следующем входе в систему.
  6. Добавьте нового пользователя в группу:
    1. В папке Пользователи щелкните правой кнопкой мыши нового пользователя.
    2. Нажмите кнопку Добавить в группу.
    3. Введите название группы, к которой вы хотите добавить пользователя.

Назначение пользователей и групп в коллекции

Теперь, когда вы создали пользователей и группы в Active Directory, вы можете уточнить, кто будет иметь доступ к коллекциям удаленных рабочих столов в вашей среде.

  1. Подключитесь к серверу, на котором выполняется роль посредника подключений к удаленному рабочему столу (посредник подключений к удаленному рабочему столу), выполнив действия, описанные ранее.

  2. Добавьте другие серверы удаленного рабочего стола в пул управляемых серверов посредников подключений к удаленному рабочему столу.

    1. В диспетчере серверов щелкните Управление > Добавить серверы.
    2. Нажмите кнопку " Найти сейчас".
    3. Выберите каждый сервер в своем развертывании, на котором выполняется роль Службы удаленных рабочих столов, а затем нажмите кнопку ОК.

  3. Изменение коллекции для предоставления доступа к конкретным пользователям или группам описано ниже.

    1. В диспетчере серверов выберите Службу удаленных рабочих столов > Обзор, а затем нажмите кнопку определенной коллекции.
    2. В разделе Свойства нажмите кнопку Задачи > Изменить свойства.
    3. Щелкните Группы пользователей.
    4. Нажмите кнопку Добавить и введите пользователя или группу, которые должны иметь доступ к коллекции. Можно также удалить пользователей и группы из этого окна, выбрав нужного пользователя или группу и нажав кнопку Удалить.

    Примечание.

    Окно групп пользователей не может быть пустым. Чтобы сузить круг пользователей, имеющих доступ к коллекции, необходимо сначала добавить определенных пользователей или группы, а затем удалить остальные группы.