如何將群組原則物件套用至終端機服務伺服器

本文說明如何將「群組原則」物件套用到終端機服務伺服器。

原始產品版本:   Windows Server 2012 R2
原始 KB 編號:   260370

摘要

針對應用程式伺服器模式中的使用者安裝 microsoft Windows Server 2003 終端機服務伺服器和 Microsoft Windows 2000 終端機服務伺服器。 當終端機服務伺服器位於 Active Directory 網域中時,網域管理員會執行群組原則物件 (Gpo) 至終端機服務伺服器以控制使用者環境。 本文說明將 Gpo 套用至終端機服務的建議程式,不會對網路上的其他伺服器帶來不良影響。

詳細資訊

有兩種方法可以將 Gpo 套用至終端機服務,而不會對網路上的其他伺服器造成不良影響。

方法 1

將終端伺服器電腦放入自己的組織單位 (OU) 中。 這項設定允許將相關的電腦設定設定放在只適用于終端伺服器電腦的 Gpo 中。 此設定不會影響工作站或其他伺服器上的使用者體驗,並可讓您為使用者建立嚴格控制的終端機伺服器體驗。 此 OU 不應該包含使用者或其他電腦,這樣域管理員才能微調終端服務經驗。 OU 也可以委派控制權給次級群組,例如伺服器操作員或個別使用者。

若要為終端機服務伺服器建立新的 OU,請遵循下列步驟:

  1. 按一下 [開始],指向 [程式],指向 [系統管理工具],然後按一下 [ Active Directory 使用者及電腦]。

  2. 展開左窗格。

  3. 按一下 domainname.xxx

  4. 在 [動作] 功能表上,按一下 [新增],然後按一下 [組織單位]。

  5. 在 [名稱] 方塊中,輸入終端機服務伺服器的名稱。

  6. 按一下 [確定]。

    新的終端機服務 OU 現在會出現在左窗格的清單中,而且不會包含任何預設物件。 終端機服務伺服器位於電腦 OU 或網域控制站 OU 中。

  7. 找到並按一下 [終端機服務] 伺服器,按一下 [動作],然後按一下 [移動]。

  8. 在 [移動] 對話方塊中,按一下新的終端機服務伺服器或伺服器,然後按一下 [確定]。

  9. 按一下 [新增終端機服務] OU,以確認移動已成功。

若要建立終端機服務群組原則物件,請遵循下列步驟:

  1. 按一下 [新增終端機服務] OU。

  2. 在 [動作] 功能表上,按一下 [屬性]。

  3. 按一下 [群組原則] 索引標籤。

  4. 按一下 [新增] 以建立新的群組原則物件。

  5. 按一下 [編輯] 修改群組原則。

    注意

    大部分相關的設定是在 [電腦設定]、[安全性設定] 或 [本機原則] 底下。 例如,在 [使用者權利指派] 的右側清單中,您可以找到 [在 本機登 入]。 在終端機服務上登入會話時,必須使用此設定。 您也可以 從網路存取這部電腦。 在終端機服務會話之外,必須使用此設定來連線至伺服器。 您也可以在此讓使用者無法關閉系統。 在 [安全性選項] 資料夾中,應進行許多限制,以及在 Windows NT 4.0 Server 和終端伺服器 Edition 中,NTConfig pol 檔案的位置類似設定。 不應在這裡套用原則使用者部分的設定,因為使用者未使用終端機服務伺服器放入此 OU。 本文是針對電腦原則的實施而撰寫。

  6. 修改完成後,請關閉群組原則編輯器,然後按一下 [關閉] 關閉 [OU 屬性]。

方法 2

使用「群組原則環回」功能,只會在使用者登入終端機伺服器時,將使用者設定 GPO 設定套用至使用者。 當 OU 中只包含終端伺服器的電腦啟用 GPO 回送處理時,這些電腦會從套用到該 OU 的 Gpo 集中套用使用者設定設定。 此外,這些電腦會從包含使用者帳戶的 OU 所連結或繼承的 Gpo 中,套用使用者設定設定。

下列知識文庫文章說明此項實施:
231287 群組原則的回送處理

在可能的情況下,終端機服務應該安裝在成員伺服器上,而不是網域控制站上,因為使用者必須在本機登入使用者權限。 將本機登入許可權指派給網域控制站時,系統會將其指派給網域中的每個網域控制站,因為共用 Active Directory 資料庫。 依預設,在應用程式伺服器模式中安裝終端機服務時,會授與成員伺服器在本機安全性原則中登入本機安全性原則的使用者權限。

如需其他資訊,請按一下下列文章編號,以查看 Microsoft 知識庫中的文章:

186529 本機原則不允許您互動式登入

終端伺服器的電腦帳戶應該新增到為環回所建立之 GPO 的安全性屬性。 若要這麼做,請遵循下列步驟:

  1. 選取為環回建立的 GPO,然後按一下 [ 屬性]。
  2. 按一下 [ 安全性 ] 索引標籤,然後按一下 [ 新增]。
  3. 在 [ 選取使用者、電腦或群組 ] 方塊中,選取電腦帳戶,然後按一下 [確定]
  4. 從 [ 群組或使用者名稱 ] 方塊中,按一下電腦帳戶。
  5. 在 [電腦名稱稱的許可權] 方塊中,按一下以選取 [允許] 欄中的 [讀取] 和 [套用 群組原則] 核取方塊。
  6. 按一下 [確定] 兩次,以關閉並儲存原則設定。