靈活管控遠程桌面

讓RemoteAPP自動關聯本地文件

為了在客戶端上實現“.rdp”文件和本地特定類型的關聯問題，可以在遠程桌面服務器上打開RemoteApp管理器，在列表中找到發(fā)布的程序（例如Word等），在右鍵菜單上點擊“創(chuàng)建Windows Install程序包”項，在向導界面中依次點擊“下一步”，在配置分發(fā)程序包窗口（如圖1）中選擇“將此程序的客戶端擴展與RemoteApp程序項關聯”項，點擊“完成”。之后，將生成的WINWORD安裝包復制到客戶端，在客戶端以域管理員身份安裝該包。這樣，在客戶端雙擊與之關聯的程序，就可以打開該遠程程序操作了。

圖1 配置分發(fā)程序包參數

讓用戶擁有不同的RemoteAPP

在遠程桌面服務器上打開RemoteAPP管理器，在列表中選擇某個程序（例如財務軟件），在其屬性窗口中的“用戶分配”面板（如圖2）中選擇“指定域用戶和域組”項，點擊“添加”，導入目標賬戶（例如財務管理員等）。

這樣，只有指定的賬戶才可以使用該程序。但是，當用戶登錄到RDWeb訪問頁面后，可以點擊“遠程桌面”鏈接，輸入遠程桌面服務器名稱，通過遠程登錄的方法，來避開上述限制隨意操作目標程序。為此，可以在遠程桌面服務器上打開IIS管理器，打開“網 站 →Default Web Site→RDWeb→Pages”項，在右側雙擊“應用程序設置”項，在“ShowDesktops”欄中將其值修改為“False”，就可以隱藏“遠程桌面”鏈接。

身份驗證提高訪問安全性

在服務器上執(zhí)行“mmc”命令，在控制臺中點擊“文件→添加/刪除管理單元”項，在彈出窗口左側列表中選擇“證書”項，點擊“添加”按鈕，選擇“計算機賬戶”項，點擊“完成”，將其添加進來。在控制臺左側選擇“證書→個人”，在右鍵菜單上點擊“所有任務→申請新證書”項，在向導界面中選擇“Active Directory注冊策略”項，點擊“下一步”，選擇“計算機”項，點擊注冊按鈕，完成證書申請操作。

圖2 為發(fā)布的程序分配賬戶

圖3 為遠程桌面服務綁定證書

我們也可以向Internet上的第三方證書頒發(fā)機構申請證書。打開遠程桌面會話主機配置程序，在“RDPTCP”連接項的右鍵菜單上點擊“屬性”項，在彈出窗口中的“常規(guī)”面板（如圖3）中的“安全層”列表中選擇“SSL（TSL1.0）”項，點擊“選擇”按鈕，在列表中選擇上述申請的證書。點擊“應用”。當客戶端登錄遠程桌面后，在屏幕頂部的工具欄上點擊鎖型按鈕，在彈出窗口中顯示“使用服務器證書和Kerberos已驗證遠程計算機的身份”。點擊“查看證書”按鈕，顯示證書的詳細信息。

在上述窗口中的“環(huán)境”面板，選擇“用戶登錄時啟用些列程序”項，在“程序路徑和文件名”欄中輸入“c:windowssystem32logoff.exe”，在“起始于”欄中輸入“c:windowssystem32”。這樣，當用戶試圖登錄遠程桌面時，就會被直接注銷。如果希望對會話時間進行控制的話，可以在“會話”面板中選擇“改寫用戶設置”項，設置當客戶端斷開會話后，結束該會話的時間。在“活動會話限制”欄中設置客戶端可以使用RemoteAPP以及遠程桌面的時間值。在“空閑會話限制”欄中設置當超過多長時間的空閑狀態(tài)后，自動關閉會話。選擇“改寫用戶設置”和“結束會話”項，當滿足以上條件后，自動結束會話。

單點登錄遠程桌面和RDWeb

在域控上打開組策略管理器，在左側選擇域名，在其右鍵菜單上點擊“在這個域中創(chuàng)建GPO并在此處連接”項，輸入GPO名稱，選擇該GPO，進入其編輯界面，選擇“計算機配置→管理模版→系統→憑據分配”分支，雙擊“允許分配默認憑據”項，在彈出窗口中選擇“已啟用”項，在“將服務器添加到列表”欄中點擊“顯示”按鈕，在顯示內容窗口中輸入“termsrv/xxx.com”，其中的“xxx.com”表示遠程桌面服務器的DNS名稱。點擊“確定”，保存配置信息。

在客戶端執(zhí)行“gpupdate/force”命令，來刷新組策略。執(zhí)行“gpresult /r”命令，來查看策略的應用情況。當確認應用了上述策略后，登錄遠程桌面時，就無法再次提交憑據了。對應的，也可以使用單點登錄功能，來快捷的登錄RDWeb站點。這就需要對RDP文件進行簽名，之后使用RDWeb的方式，將其分發(fā)到客戶端。這樣，如果黑客對RDP文件中的服務器地址進行了修改，系統就會禁止用戶進行登錄。在服務器上打開RemoteAPP管理器。在“數字簽名設置”欄中點擊“更改”鏈接，在“數字簽名”面板（如圖4）中選擇“使用數字證書簽名”項，點擊更改按鈕，選擇所需的證書。

圖4 配置數字簽名信息

在“RemoteApp程序”列表中刪除所有已經發(fā)布的程序，點擊“添加RemoteApp”鏈接，在向導界面中重新選擇需要發(fā)布的程序。這樣，就可以對這些RemoteApp進行數字簽名處理。在客戶端輸入對應的域賬戶和密碼，登錄到RDWeb頁面。點擊對應的RemoteAPP程序，在彈出窗口會顯示的發(fā)布者信息，點擊“連接”，無需再次輸入密碼，就可以直接運行該程序。

快速部署RemoteApp程序

使用常規(guī)的部署方式，無法適應大規(guī)模部署RemoteAPP的場景，在遠程連接代理服務器上打開遠程桌面連接管理器，在右側點擊“創(chuàng)建配置文件”鏈接，在“RAD連接源URL”欄中輸入“https://rds.xxx.com/rdweb/feed/webfeed.aspx”，點擊保存按鈕，將其保存為獨立的文件，放置到共享目錄中。在客戶端將該文件復制過來，雙擊該文件，在向導界面中點擊下一步按鈕，就可以創(chuàng)建RemoteAPP桌面連接。

使用連接代理保證會話連貫性

在一個負載均衡的環(huán)境中，所有的用戶登錄到服務器之后，都會產生包含用戶名，打開的程序，用戶IP等會話信息。用戶再次登錄時，主機會首先連接代理服務器，檢測是否已存在會話信息。如果有的話，用戶就會重定向到對應的服務器上的相應會話中。

在遠程連接代理服務器運行“l(fā)usrmgr.msc”程序，在賬戶管理程序左側選擇“組”項，在右側雙擊“Session Broker Computers”組，在屬性窗口中點擊“添加→對象類型→計算機”。之后將群集中的所有遠程桌面會話主機添加進來。在遠程桌面會話主機上打開遠程桌面會話主機配置程序，在窗口中部雙擊“RD連接代理中的場的成員”項，在打開窗口中點擊“更改設置”按鈕，在設置窗口（如圖5）中選擇“場成員”項，輸入遠程連接代理服務器名稱和場名稱。

這樣，就可以將當前主機的會話連接信息提交到會話目錄中。在“RD連接代理”面板中選擇“參與連接代理負載平衡”項，為當前主機設置相互權重值。對于場中配置較高的服務器，可以設置較高的權重值，使其可以響應更多的用戶請求。點擊應用按鈕，保存配置信息。如果連接代理服務運行異常的話，可以運行“services.msc”程 序，重 啟“Remote Desktop Connection Broker”服務，就可以有效解決問題。

快速發(fā)布虛擬機遠程桌面

使用常規(guī)方法，只能允許用戶訪問將物理主機的遠程桌面。利用VDI功能，可以將虛擬機的桌面發(fā)布給用戶使用。在某臺服務器（其DNS名 為“xxx.xnsrv.com”）上打開服務管理器，啟動添加角色向導，在遠程桌面服務列表中選擇“遠程桌面虛擬化主機”項，來安裝組件（事先需要安裝好Hyper-V角色）。打開Hyper-V管理器，創(chuàng)建所需的虛擬機。例如創(chuàng)建一臺Windows 7虛擬機，將該虛擬機的名稱修改為“VD01.xxx.com”，其中的“xxx.com”為域名。打開該虛擬機，將其添加到域環(huán)境中。

圖5 配置RD連接代理信息

在控制面板中打開“允許程序通過Windows防火墻”項，選擇“遠程桌面”和“遠程服務管理”項，使其可以穿越防火墻和外界通訊。打開PowerShell窗口，執(zhí)行“Set-ExecutionPolicy remotesigned -force”和“Configure-VirtualMachine.ps l-RDVHost xxxxnsrv-RDUsers xxxuser01”命令，其中的“xxxxnsrv”為上述虛擬化主機的在域中的名稱，“xxxuser01”為域中的賬戶名，表示該虛擬機將分配給名為“user01”用戶使用。打開搜索引擎，搜索“Configure Guest OS for Microsoft VDI”內 容，可以查看和下載“Configure-VirtualMachine.psl”腳本文件的內容。

配置好虛擬機后，登錄到遠程桌面連接代理服務器上。打開遠程桌面連接管理器，在右側點擊“配置虛擬機”鏈接，在向導界面中點擊下一步，在“服務器名稱”欄中輸入遠程桌面虛擬化主機名稱，例如“xxx.xnsrv.com”。點擊“添加”按鈕，將其添加到列表中。在下一步窗口中的“服務器名稱”欄中輸入遠程桌面會話主機名稱，點擊下一步按鈕，輸入RD Web代理服務器名稱，其余設置保持默認。點擊完成按鈕，打開分配個人虛擬機向導界面，點擊“選擇用戶”按鈕，選擇與虛擬機綁定的用戶（例如“xxxuser01”）。在“虛擬機”列表中選擇上述虛擬機名稱，例如“VD01.xxx.com”。這樣，當“user01”用戶在客戶端上登錄RDWeb站點，就會顯示“我的桌面”圖標。點擊該圖標，就會登錄為其指定的虛擬機上（該虛擬機必須事先處于關機狀態(tài)）。