灵活管控远程桌面
2018-11-06
让RemoteAPP自动关联本地文件
为了在客户端上实现“.rdp”文件和本地特定类型的关联问题,可以在远程桌面服务器上打开RemoteApp管理器,在列表中找到发布的程序(例如Word等),在右键菜单上点击“创建Windows Install程序包”项,在向导界面中依次点击“下一步”,在配置分发程序包窗口(如图1)中选择“将此程序的客户端扩展与RemoteApp程序项关联”项,点击“完成”。之后,将生成的WINWORD安装包复制到客户端,在客户端以域管理员身份安装该包。这样,在客户端双击与之关联的程序,就可以打开该远程程序操作了。
图1 配置分发程序包参数
让用户拥有不同的RemoteAPP
在远程桌面服务器上打开RemoteAPP管理器,在列表中选择某个程序(例如财务软件),在其属性窗口中的“用户分配”面板(如图2)中选择“指定域用户和域组”项,点击“添加”,导入目标账户(例如财务管理员等)。
这样,只有指定的账户才可以使用该程序。但是,当用户登录到RDWeb访问页面后,可以点击“远程桌面”链接,输入远程桌面服务器名称,通过远程登录的方法,来避开上述限制随意操作目标程序。为此,可以在远程桌面服务器上打开IIS管理器,打开“网 站 →Default Web Site→RDWeb→Pages”项,在右侧双击“应用程序设置”项,在“ShowDesktops”栏中将其值修改为“False”,就可以隐藏“远程桌面”链接。
身份验证提高访问安全性
在服务器上执行“mmc”命令,在控制台中点击“文件→添加/删除管理单元”项,在弹出窗口左侧列表中选择“证书”项,点击“添加”按钮,选择“计算机账户”项,点击“完成”,将其添加进来。在控制台左侧选择“证书→个人”,在右键菜单上点击“所有任务→申请新证书”项,在向导界面中选择“Active Directory注册策略”项,点击“下一步”,选择“计算机”项,点击注册按钮,完成证书申请操作。
图2 为发布的程序分配账户
图3 为远程桌面服务绑定证书
我们也可以向Internet上的第三方证书颁发机构申请证书。打开远程桌面会话主机配置程序,在“RDPTCP”连接项的右键菜单上点击“属性”项,在弹出窗口中的“常规”面板(如图3)中的“安全层”列表中选择“SSL(TSL1.0)”项,点击“选择”按钮,在列表中选择上述申请的证书。点击“应用”。当客户端登录远程桌面后,在屏幕顶部的工具栏上点击锁型按钮,在弹出窗口中显示“使用服务器证书和Kerberos已验证远程计算机的身份”。点击“查看证书”按钮,显示证书的详细信息。
在上述窗口中的“环境”面板,选择“用户登录时启用些列程序”项,在“程序路径和文件名”栏中输入“c:windowssystem32logoff.exe”,在“起始于”栏中输入“c:windowssystem32”。这样,当用户试图登录远程桌面时,就会被直接注销。如果希望对会话时间进行控制的话,可以在“会话”面板中选择“改写用户设置”项,设置当客户端断开会话后,结束该会话的时间。在“活动会话限制”栏中设置客户端可以使用RemoteAPP以及远程桌面的时间值。在“空闲会话限制”栏中设置当超过多长时间的空闲状态后,自动关闭会话。选择“改写用户设置”和“结束会话”项,当满足以上条件后,自动结束会话。
单点登录远程桌面和RDWeb
在域控上打开组策略管理器,在左侧选择域名,在其右键菜单上点击“在这个域中创建GPO并在此处连接”项,输入GPO名称,选择该GPO,进入其编辑界面,选择“计算机配置→管理模版→系统→凭据分配”分支,双击“允许分配默认凭据”项,在弹出窗口中选择“已启用”项,在“将服务器添加到列表”栏中点击“显示”按钮,在显示内容窗口中输入“termsrv/xxx.com”,其中的“xxx.com”表示远程桌面服务器的DNS名称。点击“确定”,保存配置信息。
在客户端执行“gpupdate/force”命令,来刷新组策略。执行“gpresult /r”命令,来查看策略的应用情况。当确认应用了上述策略后,登录远程桌面时,就无法再次提交凭据了。对应的,也可以使用单点登录功能,来快捷的登录RDWeb站点。这就需要对RDP文件进行签名,之后使用RDWeb的方式,将其分发到客户端。这样,如果黑客对RDP文件中的服务器地址进行了修改,系统就会禁止用户进行登录。在服务器上打开RemoteAPP管理器。在“数字签名设置”栏中点击“更改”链接,在“数字签名”面板(如图4)中选择“使用数字证书签名”项,点击更改按钮,选择所需的证书。
图4 配置数字签名信息
在“RemoteApp程序”列表中删除所有已经发布的程序,点击“添加RemoteApp”链接,在向导界面中重新选择需要发布的程序。这样,就可以对这些RemoteApp进行数字签名处理。在客户端输入对应的域账户和密码,登录到RDWeb页面。点击对应的RemoteAPP程序,在弹出窗口会显示的发布者信息,点击“连接”,无需再次输入密码,就可以直接运行该程序。
快速部署RemoteApp程序
使用常规的部署方式,无法适应大规模部署RemoteAPP的场景,在远程连接代理服务器上打开远程桌面连接管理器,在右侧点击“创建配置文件”链接,在“RAD连接源URL”栏中输入“https://rds.xxx.com/rdweb/feed/webfeed.aspx”,点击保存按钮,将其保存为独立的文件,放置到共享目录中。在客户端将该文件复制过来,双击该文件,在向导界面中点击下一步按钮,就可以创建RemoteAPP桌面连接。
使用连接代理保证会话连贯性
在一个负载均衡的环境中,所有的用户登录到服务器之后,都会产生包含用户名,打开的程序,用户IP等会话信息。用户再次登录时,主机会首先连接代理服务器,检测是否已存在会话信息。如果有的话,用户就会重定向到对应的服务器上的相应会话中。
在远程连接代理服务器运行“lusrmgr.msc”程序,在账户管理程序左侧选择“组”项,在右侧双击“Session Broker Computers”组,在属性窗口中点击“添加→对象类型→计算机”。之后将群集中的所有远程桌面会话主机添加进来。在远程桌面会话主机上打开远程桌面会话主机配置程序,在窗口中部双击“RD连接代理中的场的成员”项,在打开窗口中点击“更改设置”按钮,在设置窗口(如图5)中选择“场成员”项,输入远程连接代理服务器名称和场名称。
这样,就可以将当前主机的会话连接信息提交到会话目录中。在“RD连接代理”面板中选择“参与连接代理负载平衡”项,为当前主机设置相互权重值。对于场中配置较高的服务器,可以设置较高的权重值,使其可以响应更多的用户请求。点击应用按钮,保存配置信息。如果连接代理服务运行异常的话,可以运行“services.msc”程 序,重 启“Remote Desktop Connection Broker”服务,就可以有效解决问题。
快速发布虚拟机远程桌面
使用常规方法,只能允许用户访问将物理主机的远程桌面。利用VDI功能,可以将虚拟机的桌面发布给用户使用。在某台服务器(其DNS名 为“xxx.xnsrv.com”)上打开服务管理器,启动添加角色向导,在远程桌面服务列表中选择“远程桌面虚拟化主机”项,来安装组件(事先需要安装好Hyper-V角色)。打开Hyper-V管理器,创建所需的虚拟机。例如创建一台Windows 7虚拟机,将该虚拟机的名称修改为“VD01.xxx.com”,其中的“xxx.com”为域名。打开该虚拟机,将其添加到域环境中。
图5 配置RD连接代理信息
在控制面板中打开“允许程序通过Windows防火墙”项,选择“远程桌面”和“远程服务管理”项,使其可以穿越防火墙和外界通讯。打开PowerShell窗口,执行“Set-ExecutionPolicy remotesigned -force”和“Configure-VirtualMachine.ps l-RDVHost xxxxnsrv-RDUsers xxxuser01”命令,其中的“xxxxnsrv”为上述虚拟化主机的在域中的名称,“xxxuser01”为域中的账户名,表示该虚拟机将分配给名为“user01”用户使用。打开搜索引擎,搜索“Configure Guest OS for Microsoft VDI”内 容,可以查看和下载“Configure-VirtualMachine.psl”脚本文件的内容。
配置好虚拟机后,登录到远程桌面连接代理服务器上。打开远程桌面连接管理器,在右侧点击“配置虚拟机”链接,在向导界面中点击下一步,在“服务器名称”栏中输入远程桌面虚拟化主机名称,例如“xxx.xnsrv.com”。点击“添加”按钮,将其添加到列表中。在下一步窗口中的“服务器名称”栏中输入远程桌面会话主机名称,点击下一步按钮,输入RD Web代理服务器名称,其余设置保持默认。点击完成按钮,打开分配个人虚拟机向导界面,点击“选择用户”按钮,选择与虚拟机绑定的用户(例如“xxxuser01”)。在“虚拟机”列表中选择上述虚拟机名称,例如“VD01.xxx.com”。这样,当“user01”用户在客户端上登录RDWeb站点,就会显示“我的桌面”图标。点击该图标,就会登录为其指定的虚拟机上(该虚拟机必须事先处于关机状态)。