Поставщик служб CSP политики — RemoteDesktopServices
Совет
Этот CSP содержит политики, поддерживаемые ADMX, для включения или отключения которых требуется специальный формат SyncML. Необходимо указать тип данных в SyncML как <Format>chr</Format>. Дополнительные сведения см. в разделе Общие сведения о политиках на основе ADMX.
Полезные данные SyncML должны быть в кодировке XML; Для этой кодирования XML существуют различные сетевые кодировщики, которые можно использовать. Чтобы избежать кодирования полезных данных, можно использовать CDATA, если mdm поддерживает их. Дополнительные сведения см. в разделе Разделы CDATA.
Важно.
Этот CSP содержит некоторые параметры, находящиеся в стадии разработки и применимые только для сборок Windows Insider Preview. Эти параметры могут изменяться и зависеть от других функций или служб в предварительной версии.
AllowUsersToConnectRemotely
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
Этот параметр политики позволяет настроить удаленный доступ к компьютерам с помощью служб удаленных рабочих столов.
Если этот параметр политики включен, пользователи, являющиеся членами группы "Пользователи удаленного рабочего стола" на целевом компьютере, смогут удаленно подключаться к целевому компьютеру с помощью служб удаленных рабочих столов.
Если этот параметр политики отключен, пользователи не смогут удаленно подключаться к целевому компьютеру с помощью служб удаленных рабочих столов. Целевой компьютер будет поддерживать текущие подключения, но не будет принимать новые входящие подключения.
Если этот параметр политики не настроен, службы удаленных рабочих столов используют параметр Удаленный рабочий стол на целевом компьютере, чтобы определить, разрешено ли удаленное подключение. Этот параметр находится на вкладке Удаленное на странице Свойств системы. По умолчанию удаленные подключения не разрешены.
Примечание.
Вы можете ограничить удаленное подключение клиентов с помощью служб удаленных рабочих столов, настроив параметр политики в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность\Требовать проверку подлинности пользователя для удаленных подключений с помощью проверки подлинности на уровне сети.
Вы можете ограничить количество пользователей, которые могут одновременно подключаться, настроив параметр политики в разделе Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Connections\Ограничение количества подключений или настроив параметр политики Максимальное Connections с помощью поставщика WMI узла сеансов удаленных рабочих столов.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TS_DISABLE_CONNECTIONS |
| Понятное имя | Разрешить пользователям удаленное подключение с помощью служб удаленных рабочих столов |
| Location | Конфигурация компьютера |
| Путь | Узел > сеансов удаленных рабочих столов служб удаленных рабочих > столов служб > компонентов Windows Connections |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Имя файла ADMX | TerminalServer.admx |
ClientConnectionEncryptionLevel
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/ClientConnectionEncryptionLevel
Указывает, требуется ли использовать определенный уровень шифрования для защиты обмена данными между клиентскими компьютерами и серверами узла сеансов удаленных рабочих столов во время подключений по протоколу удаленного рабочего стола (RDP). Эта политика применяется только при использовании собственного шифрования RDP. Однако собственное шифрование RDP (в отличие от шифрования SSL) не рекомендуется. Эта политика не применяется к шифрованию SSL.
- Если этот параметр политики включен, во всех подключениях между клиентами и серверами узла сеансов удаленных рабочих столов во время удаленных подключений должен использоваться метод шифрования, указанный в этом параметре. По умолчанию для уровня шифрования задано значение Высокий. Доступны следующие методы шифрования:
Высокий. Высокий параметр шифрует данные, отправляемые клиентом на сервер и с сервера на клиент, используя строгое 128-разрядное шифрование. Используйте этот уровень шифрования в средах, содержащих только 128-разрядные клиенты (например, клиенты с подключением к удаленному рабочему столу). Клиенты, которые не поддерживают этот уровень шифрования, не могут подключаться к серверам узла сеансов удаленных рабочих стола.
Совместимость с клиентом. Параметр Client Compatible шифрует данные, отправляемые между клиентом и сервером, с максимальной силой ключа, поддерживаемой клиентом. Используйте этот уровень шифрования в средах, включающих клиенты, которые не поддерживают 128-разрядное шифрование.
Низкий. Параметр Low шифрует только данные, отправляемые с клиента на сервер, с помощью 56-разрядного шифрования.
- Если этот параметр отключен или не настроен, уровень шифрования, используемый для удаленных подключений к серверам узла сеансов удаленных рабочих столов, не применяется через групповая политика.
Важно.
Соответствие FIPS можно настроить с помощью системного шифрования. Используйте совместимые с FIPS алгоритмы для шифрования, хэширования и подписывания параметров в групповая политика (в разделе Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности). Параметр, совместимый с FIPS, шифрует и расшифровывает данные, отправляемые с клиента на сервер и с сервера на клиент, с помощью алгоритмов шифрования FIPS 140 с помощью криптографических модулей Майкрософт. Используйте этот уровень шифрования, если для взаимодействия между клиентами и серверами узла сеансов удаленных рабочих стола требуется самый высокий уровень шифрования.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TS_ENCRYPTION_POLICY |
| Понятное имя | Настройка уровня шифрования подключения клиента |
| Location | Конфигурация компьютера |
| Путь | Безопасность узла сеансов > удаленных рабочих столов служб удаленных рабочих столов служб > Windows Components > |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Имя файла ADMX | TerminalServer.admx |
DisconnectOnLockLegacyAuthn
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockLegacyAuthn
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TS_DISCONNECT_ON_LOCK_POLICY |
| Имя файла ADMX | terminalserver.admx |
DisconnectOnLockMicrosoftIdentityAuthn
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DisconnectOnLockMicrosoftIdentityAuthn
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TS_DISCONNECT_ON_LOCK_AAD_POLICY |
| Имя файла ADMX | terminalserver.admx |
DoNotAllowDriveRedirection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowDriveRedirection
Этот параметр политики указывает, следует ли запретить сопоставление клиентских дисков в сеансе служб удаленных рабочих столов (перенаправление дисков).
По умолчанию сервер узла сеансов удаленных рабочих стола автоматически сопоставляет клиентские диски при подключении. Сопоставленные диски отображаются в дереве папок сеанса в проводник или Компьютер в формате <driveletter> в <computername>. Этот параметр политики можно использовать для переопределения этого поведения.
Если этот параметр политики включен, перенаправление клиентских дисков запрещено в сеансах служб удаленных рабочих столов, а перенаправление копирования файлов буфера обмена запрещено на компьютерах под управлением Windows XP, Windows Server 2003, Windows Server 2012 (и более поздних версий) или Windows 8 (и более поздних версий).
Если этот параметр политики отключен, перенаправление клиентских дисков всегда разрешено. Кроме того, перенаправление копирования файлов буфера обмена всегда разрешено, если разрешено перенаправление буфера обмена.
Если этот параметр политики не настроен, перенаправление диска клиента и перенаправление копирования файлов буфера обмена не указываются на уровне групповая политика.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TS_CLIENT_DRIVE_M |
| Понятное имя | Запретить перенаправление диска |
| Location | Конфигурация компьютера |
| Путь | Windows Components > Remote Desktop Services > Remote Desktop Session Host > Device and Resource Redirection |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Имя значения реестра | fDisableCdm |
| Имя файла ADMX | TerminalServer.admx |
DoNotAllowPasswordSaving
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowPasswordSaving
Определяет, можно ли сохранять пароли на этом компьютере из подключения к удаленному рабочему столу.
Если этот параметр включен, флажок сохранения пароля в разделе Подключение к удаленному рабочему столу будет отключен, а пользователи больше не смогут сохранять пароли. Когда пользователь открывает RDP-файл с помощью подключения к удаленному рабочему столу и сохраняет свои параметры, все пароли, которые ранее существовали в RDP-файле, будут удалены.
Если этот параметр отключен или не настроен, пользователь сможет сохранять пароли с помощью подключения к удаленному рабочему столу.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TS_CLIENT_DISABLE_PASSWORD_SAVING_2 |
| Понятное имя | Запретить сохранение паролей |
| Location | Конфигурация компьютера |
| Путь | > Клиент подключения к удаленному рабочему столу служб > компонентов Windows |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Имя значения реестра | DisablePasswordSaving |
| Имя файла ADMX | TerminalServer.admx |
DoNotAllowWebAuthnRedirection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 11, версия 22H2 [10.0.22621] и более поздние |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/DoNotAllowWebAuthnRedirection
Этот параметр политики позволяет управлять перенаправлением запросов веб-проверки подлинности (WebAuthn) из сеанса удаленного рабочего стола на локальное устройство. Это перенаправление позволяет пользователям проходить проверку подлинности для ресурсов в сеансе удаленного рабочего стола с помощью локального средства проверки подлинности (например, Windows Hello для бизнеса, ключа безопасности или другого).
По умолчанию удаленный рабочий стол разрешает перенаправление запросов WebAuthn.
Если этот параметр политики включен, пользователи не смогут использовать локальный средство проверки подлинности в сеансе удаленного рабочего стола.
Если этот параметр политики отключен или не настроен, пользователи могут использовать локальные средства проверки подлинности в сеансе удаленного рабочего стола.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TS_WEBAUTHN |
| Понятное имя | Запретить перенаправление WebAuthn |
| Location | Конфигурация компьютера |
| Путь | Windows Components > Remote Desktop Services > Remote Desktop Session Host > Device and Resource Redirection |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Имя значения реестра | fDisableWebAuthn |
| Имя файла ADMX | TerminalServer.admx |
LimitClientToServerClipboardRedirection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ✅ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitClientToServerClipboardRedirection
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TS_CLIENT_CLIPBOARDRESTRICTION_CS |
| Имя файла ADMX | terminalserver.admx |
LimitServerToClientClipboardRedirection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ✅ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows Insider Preview |
./User/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/LimitServerToClientClipboardRedirection
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TS_CLIENT_CLIPBOARDRESTRICTION_SC |
| Имя файла ADMX | terminalserver.admx |
PromptForPasswordUponConnection
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/PromptForPasswordUponConnection
Этот параметр политики указывает, всегда ли службы удаленных рабочих столов запрашивают у клиента пароль при подключении.
Этот параметр можно использовать для принудительного ввода пароля для пользователей, войдя в службы удаленных рабочих столов, даже если они уже указали пароль в клиенте подключения к удаленному рабочему столу.
По умолчанию службы удаленных рабочих столов позволяют пользователям автоматически входить в систему, вводя пароль в клиенте подключения к удаленному рабочему столу.
Если этот параметр политики включен, пользователи не смогут автоматически входить в службы удаленных рабочих столов, указав пароли в клиенте подключения к удаленному рабочему столу. Им будет предложено ввести пароль для входа.
Если этот параметр политики отключен, пользователи всегда могут автоматически входить в службы удаленных рабочих столов, вводя пароли в клиенте подключения к удаленному рабочему столу.
Если этот параметр политики не настроен, автоматический вход не будет указан на уровне групповая политика.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TS_PASSWORD |
| Понятное имя | Всегда запрашивать пароль при подключении |
| Location | Конфигурация компьютера |
| Путь | Безопасность узла сеансов > удаленных рабочих столов служб удаленных рабочих столов служб > Windows Components > |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Имя значения реестра | fPromptForPassword |
| Имя файла ADMX | TerminalServer.admx |
RequireSecureRPCCommunication
| Область применения | Выпуски | Применимая ОС |
|---|---|---|
| Устройство ✅ Пользователь ❌ |
✅ Pro ✅ Enterprise ✅ для образования ✅ Windows SE ✅ IIoT Enterprise или IoT Enterprise LTSC |
✅Windows 10, версия 1703 [10.0.15063] и более поздние |
./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/RequireSecureRPCCommunication
Указывает, требуется ли серверу узла сеансов удаленных рабочих столов безопасное взаимодействие RPC со всеми клиентами или разрешено незащищенное взаимодействие.
Этот параметр можно использовать для повышения безопасности связи RPC с клиентами, разрешая только запросы, прошедшие проверку подлинности и зашифрованные.
Если для состояния задано значение Включено, службы удаленных рабочих столов принимают запросы от клиентов RPC, поддерживающих защищенные запросы, и не разрешают незащищенное взаимодействие с ненадежными клиентами.
Если для состояния задано значение Отключено, службы удаленных рабочих столов всегда запрашивают безопасность для всего трафика RPC. Однако для клиентов RPC, которые не отвечают на запрос, разрешено незащищенное взаимодействие.
Если для состояния задано значение Не настроено, разрешено незащищенное взаимодействие.
Примечание.
Интерфейс RPC используется для администрирования и настройки служб удаленных рабочих столов.
Описание свойств инфраструктуры:
| Имя свойства | Значение свойства |
|---|---|
| Формат | chr (строка) |
| Тип доступа | Добавить, удалить, получить, заменить |
Совет
Это политика, поддерживаемая ADMX, и для настройки требуется формат SyncML. Пример формата SyncML см. в статье Включение политики.
Сопоставление ADMX:
| Имя | Значение |
|---|---|
| Имя | TS_RPC_ENCRYPTION |
| Понятное имя | Требовать безопасное взаимодействие RPC |
| Location | Конфигурация компьютера |
| Путь | Безопасность узла сеансов > удаленных рабочих столов служб удаленных рабочих столов служб > Windows Components > |
| Имя раздела реестра | SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services |
| Имя значения реестра | fEncryptRPCTraffic |
| Имя файла ADMX | TerminalServer.admx |
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по