各位都知道,在生产企业里,远程桌面是一种很好的管理方式,特别对于服务器的管理更是快捷,当然也可以管理域内的客户端,今天我们就来探讨一下 如何启用域的成员服务器和客户端的远程桌面功能,来对这些客户端实现统一管理。
我们今天的环境是域环境,如下图所示:有三个OU,其中Domain Controllers是该域内的所有的DC,Member Server OU里有各种成员服务器,如文件服务器,邮件服务器等;Domain Client OU里有所有域内的其它客户端。该模型仅是一个理论模式,具体的生产环境可做相应的调整。
安全系列之三:域环境下远程桌面深度剖析及使用_第1张图片
我们的思路是:
1. 把相应的服务器或客户端机器放到相应的OU里。
2. 针对相应的OU实施组策略,并进行相应的设置。
3. 统一设置可以远程桌面连接的用户组成员。
4. 在DC上安装相应的远程桌面辅助工具,通过dsa.msc远程管理各种类型的机器。
 
操作步骤:
一、把相应的服务器或客户端机器放到相应的OU里
这个操作就不详细说明了,打开dsa.msc后,新建对应的OU,然后把相应的机器拖到对应的OU里就可以了。如下图所示:
安全系列之三:域环境下远程桌面深度剖析及使用_第2张图片
 
在这里:成员服务器是n2.net.com,是一台windows2003的机器。而域内的普通客户端是client.net.com,是一台winxp的机器。
注:Domain Controllers OU里是域内的所有的DC。
 
二、针对相应的OU实施组策略,并进行相应的设置。这一步最关键!
    我们利用微软的gpmc.msc来完成组策略的创建,并完成相应的设置。有关这个工具的下载,各位可到微软网站上免费下载。
(一) Member Server OU 的设置:
打开gpmc.msc,如下图所示:
安全系列之三:域环境下远程桌面深度剖析及使用_第3张图片
 
再如下图,右击并编辑这条策略,设置如下:
安全系列之三:域环境下远程桌面深度剖析及使用_第4张图片
 
安全系列之三:域环境下远程桌面深度剖析及使用_第5张图片
安全系列之三:域环境下远程桌面深度剖析及使用_第6张图片
 
如果机器启用了"windows防火墙",则必须进行如下设置,让“远程桌面”可以通过防火墙,设置如下:
安全系列之三:域环境下远程桌面深度剖析及使用_第7张图片
 
(二) Domain Client OU的设置
    设置和Member Server OU的设置相同。不再赘述。
 
(三) Domain Controller  OU的设置
    对于此OU的设置基本上同上,注意在这个OU上有一个默认的GPO,即Default Domain Controller Policy,直接编辑此GPO就可以了。
 
三、统一设置可以远程桌面连接的用户组成员。
   在默认状态下,只有管理员组的成员才可以进行远程桌面的连接,如果你想让某个用户成为“远程桌面组”成员,你还要进行相应的设置。
即把某个管理的用户加入到Remote Desktop Users。在这里我们直接编辑“Default domain policy”,如下所示:
安全系列之三:域环境下远程桌面深度剖析及使用_第8张图片
 
设置完此项后, 客户端可以通过gpupdate /force刷新并应用组策略,然后在客户端,右击“我的电脑”--选属性,查看“远程”项,如下所示:
安全系列之三:域环境下远程桌面深度剖析及使用_第9张图片
 
注:对于Domain Controllers OU组的成员,即DC除了上述具体的设置外,还必须进行如下设置,因为DC的安全性较高,默认状态下, 只有administrators组的成员才可以进行“远程桌面的连接”,因此必须把相应可以对DC进行远程桌面连接的用户授予可以进行“终端服务器登录”权限。如下设置:
 
安全系列之三:域环境下远程桌面深度剖析及使用_第10张图片
 
四、在DC上安装相应的远程桌面辅助工具,通过dsa.msc远程管理各种类型的机器。
    其实在这里,不用借助地其它工具,也可以远程桌面其它机器了,但做为一名管理员,如何使远程桌面连接更方便快捷,借助于这个工具无疑提高了工作效率。
    这个工具“rControlAD1.3.EXE”可以从微软网站上下载,我会在后面给各位附上。
   
    工具的使用:
    1. 首先把双击安装包rControlAD1.3.EXE,解压到某个目录下,如C:\rdp。解压后有三个文件,如下:
安全系列之三:域环境下远程桌面深度剖析及使用_第11张图片
    2. 复制rcontrol.exe文件到C:\windows目录下,做为客户端连接工具。
    3. 双击rcontrol_setup.exe安装到系统中,安装结束后,你再打开dsa.msc(AD用户和计算机)工具后,再右击任意一台计算机,就会多出一项,如下:
安全系列之三:域环境下远程桌面深度剖析及使用_第12张图片
 
单击此项后,如下所示:
安全系列之三:域环境下远程桌面深度剖析及使用_第13张图片
已经可以连接到这台计算机了。
 
扩展+小结:
其实我们在企业里管理各种计算机,更多的不一定到DC上去管理,你可以在你所在的机器上安装2003的管理工具包,这个包可以在03光盘的I386目录下或在2003计算机的%systemroot%\system32下,文件名是adminpak.msi,安装到你的机器上就可以了,这里你会发现在“管理工具”里多出了很多03的管理工具。可以直接使用。打开"AD用户和计算机"工具,右击任意一台计算机,也可以看到Remote Control一项,不过你必须把rcontrol.exe 这个客户端工具复制这台计算机的windows目录下。
 
注:把这个工具包下载后,改后缀为.exe即可使用。