如何將 群組原則物件套用至終端機服務伺服器

  • 文章

本文說明如何將 群組原則 物件套用至終端機服務伺服器。

適用於: 所有支援的 Windows Server 版本
原始 KB 編號: 260370

摘要

Microsoft Windows Server 2003 終端機服務伺服器和 Microsoft Windows 2000 終端機服務伺服器是針對應用程式伺服器模式的使用者安裝。 當終端機服務伺服器位於Active Directory 網域時,網域系統管理員會實作 群組原則物件, (GPO) 到終端機服務伺服器來控制用戶環境。 本文說明將 GPO 套用至終端機服務,而不會對網路上的其他伺服器造成負面影響的建議程式。

其他相關資訊

有兩種方法可將 GPO 套用至終端機服務,而不會對網路上的其他伺服器造成負面影響。

方法 1

將終端機伺服器電腦放入自己的組織單位 (OU) 。 此設定允許將相關的計算機組態設定放在只套用至終端機伺服器電腦的 GPO 中。 此設定不會影響工作站或其他伺服器上的用戶體驗,並可讓您為使用者建立受到嚴密控制的終端機伺服器體驗。 此 OU 不應包含使用者或其他電腦,讓網域系統管理員可以微調終端機服務體驗。 您也可以將 OU 委派給從屬群組,例如伺服器操作員或個別使用者。

若要為終端機服務伺服器建立新的 OU,請遵循下列步驟:

  1. 按兩下 [開始],指向 [程式],指向 [系統管理工具],然後按兩下 [Active Directory 使用者和電腦]

  2. 展開左窗格。

  3. 點選單擊 domainname.xxx

  4. 在 [動作] 功能表上,按兩下 [新增],然後按兩下 [組織單位]。

  5. 在 [名稱] 方塊中,輸入終端機服務伺服器的名稱。

  6. 按一下 [確定]。

    新的終端機服務 OU 現在會出現在左窗格的清單中,且不包含任何預設物件。 終端機服務伺服器位於電腦 OU 或域控制器 OU 中。

  7. 找出並按下終端機服務伺服器,按兩下 [動作],然後按兩下[移動]。

  8. 在 [移動] 對話框中,按兩下新的終端機服務伺服器或伺服器,然後按兩下 [確定]。

  9. 按兩下新的終端機服務 OU,確認已成功進行移動。

若要建立終端機服務 群組原則 物件,請遵循下列步驟:

  1. 按兩下新的終端機服務 OU。

  2. 在 [動作] 功能表上,按兩下 [屬性]。

  3. 按兩下 [群組原則] 索引標籤。

  4. 按兩下 [新增] 以建立New 群組原則物件。

  5. 按兩下 [編輯] 以修改 群組原則。

    注意事項

    大部分的相關設定都位於 [計算機設定]、[安全性設定] 或 [本機原則] 底下。 例如,在右側清單的 [用戶權力指派] 下,您會發現 [本機登入]。 登入終端機服務上的會話需要此設定。 您也會發現 從網路存取這部電腦。 需要此設定,才能連線到終端機服務會話外部的伺服器。 您也可以在此處防止使用者關閉系統。 [安全性選項] 資料夾是應進行許多限制的位置,以及在 Windows NT 4.0 伺服器和終端機伺服器版本中,NTConfig.pol 檔案有類似的設定。 此處不應套用原則使用者部分的設定,因為使用者尚未使用終端機服務伺服器放入此 OU。 本文是針對計算機原則實作所撰寫。

  6. 完成修改後,請關閉 群組原則 編輯器,然後按兩下 [關閉] 以關閉 [OU 屬性]。

方法 2

使用 群組原則 回送功能,僅在使用者登入終端機伺服器時,才將使用者組態 GPO 設定套用至使用者。 針對僅包含終端機伺服器的 OU 中的電腦啟用 GPO 回送處理時,這些計算機會從套用至該 OU 的 GPO 集合套用使用者組態設定。 此外,這些計算機會從 GPO 套用使用者組態設定,這些 GPO 是由包含使用者帳戶的 OU 連結或繼承。

下列知識庫文章說明此實作:
231287 群組原則 的回送處理

可能的話,終端機服務應該安裝在成員伺服器上,而不是域控制器上,因為使用者需要本機登入用戶權力。 當登入本機許可權指派給域控制器時,會因為共用Active Directory 資料庫而指派給網域中的每個域控制器。 根據預設,當終端機服務以應用程式伺服器模式安裝時,成員伺服器會在本機安全策略中獲得登入本機用戶許可權。

如需其他資訊,請按下列文章編號以檢視 Microsoft 知識庫中的文章:

186529 本機原則不允許您以互動方式登入

終端機伺服器的電腦帳戶應該新增至為回送建立之 GPO 的安全性屬性。 如果要執行這項操作,請依照下列步驟執行:

  1. 選取為回送建立的 GPO,然後按兩下 [ 屬性]
  2. 按兩下 [ 安全性] 索引標籤,然後按兩下 [ 新增]
  3. 在 [選取使用者、計算機或 群組] 方塊中,選取計算機帳戶,然後按兩下 [確定]
  4. 按兩下 [ 群組或使用者名稱 ] 方塊中的電腦帳戶。
  5. 在 [計算機名稱的許可權] 方塊中,按下以選取 [允許] 資料行中的 [取] 和 [套用 群組原則] 複選框。
  6. 按兩次以關閉並儲存原則設定。

資料收集

如果您需要 Microsoft 支援服務的協助,建議您遵循使用 TSS 收集資訊以解決 群組原則 問題中所述的步驟來收集資訊。