Дізнайтеся про служби віддаленого робочого столу: частина 3 – конфігурація

Ця стаття є частиною серії з трьох частин про служби віддаленого робочого столу.

• Частина 1: Технологія
• Частина 2: Розгортання
• Частина 3: Конфігурація

Налаштування RDP

Щоб розпочати налаштування RDP (а точніше нашого сервера хосту сеансів), відкрийте диспетчер сервера та виберіть «Служби віддаленого робочого столу» на бічній панелі. Цей екран може спочатку виглядати дещо складним, але насправді його досить легко зрозуміти, дізнавшись, що робить кожна функція. Підтвердьте, що RDS було розгорнуто правильно, підтвердивши, що екран виглядає так:

По-перше, ми повинні поглянути на сервери RD Session Host.

Що таке RD Session Host?

Цитуючи TechNet:

A Remote Desktop Session Host (RD Session Host) server is the server that hosts Windows-based programs or the full Windows desktop for Remote Desktop Services clients. Users can connect to an RD Session Host server to run programs, to save files, and to use network resources on that server. Users can access an RD Session Host server by using Remote Desktop Connection or by using RemoteApp.

Іншими словами: коли ви підключаєтеся до сервера RDS за допомогою RDP, хост сеансу є сервером, на якому ви підключаєтеся. Це термінальний сервер, на якому розміщується ваш сеанс.

Ви можете додати кілька серверів RD Session Host. Майте на увазі, що для цього вам потрібно буде скласти бюджет і подумайте, чи буде це гарною інвестицією. Якщо вам не обов’язково потрібно перемикання збоїв/балансування навантаження, немає очевидних причин додавати більше серверів RD Session Host. Якщо ви вважаєте, що це буде хорошим варіантом, ви можете просто додати сервер, додавши його до свого пулу серверів , натиснувши «Додати сервери хосту сеансів RD», і Windows Server виконає налаштування.

Що таке брокер RD Connection Broker?

Посредник RD Connection Broker — це сервер, який дозволить балансувати навантаження, перемикання збоїв і повторне підключення у разі збою хоста сеансів RD. Однак для невеликих корпорацій це зайве, тож, швидше за все, вам, можливо, не доведеться зосереджуватися на налаштуванні брокера RD Connection Broker. Немає сенсу використовувати брокер підключення до RD, якщо у вас немає кількох серверів RD Session Host, оскільки це, природно, є обов’язковою умовою.

Чи можу я додати будь-який сервер?

Ви можете додати будь-який тип сервера, пов’язаного з RDS (хост сеансів, веб-доступ, ліцензування, шлюз), розгорнувши меню «Завдання» в розділі «СЕРВЕРИ РОЗГЛЯДУ». Це забезпечує високу надійність.

Служби віддаленого робочого столу (RDS): веб-доступ і RemoteApp

RDS встановлює IIS на сервер, оскільки він містить веб-інтерфейс, який дозволяє користувачам входити в систему зі свого браузера, використовувати RemoteApp та ініціалізувати з’єднання RDP зі свого браузера. Інтерфейс після входу в систему виглядає так:

Цей інтерфейс дозволяє завантажувати програми RemoteApp та підключатися до сервера RDP.

Що таке RemoteApp?

RemoteApp можна розглядати як альтернативу термінальному серверу. RemoteApp дозволяє співробітникам завантажувати програми та запускати їх, як на власному комп’ютері. Наприклад, завантаження програми Калькулятор з RemoteApp виглядає так:

Неможливо сказати (за винятком маленької іконки на панелі завдань), що ця програма насправді працює не на цьому комп’ютері, а на сервері! Ви можете, наприклад, додати explorer.exeпрограму, співробітники зможуть її завантажити, і тоді вони зможуть запускати звичайне вікно Windows Explorer із сервера, так само, як воно працює на їхньому власному комп’ютері для доступу до мережевих ресурсів.

Додатки RemoteApp можна додавати, щоб вони були доступні для завантаження з диспетчера сервера. Знову перейдіть до розділу «Служби віддаленого робочого столу» та натисніть «Колекції» на бічній панелі, що з’явилася. RemoteApp працює з «колекціями», які можна розглядати як папки для ефективної організації програм. За замовчуванням існує лише одна колекція під назвою «QuickSessionCollection». Для цього прикладу ми збираємося додати нову програму до наявної колекції. Ви можете зробити це, натиснувши його, у розділі «ПРОГРАМИ REMOTEAPP», розгорніть «Завдання» та натисніть «Опублікувати програми RemoteApp». Ви побачите список програм RemoteApp, які можна опублікувати. Для цього прикладу ми збираємося додати програму, якої немає у списку:cmd.exe. Ви можете додати програму, натиснувши кнопку «Додати...» та знайшовши програму. Зауважте, що вам потрібно використовувати шлях UNC, тому ви не можете використовувати такий шлях, як C:\Program Files\program.exe. Знайшовши шлях (якщо cmd.exeце C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools), додайте програму та опублікуйте її!

Перезавантажте сторінку веб-доступу, і ви побачите, що ваша програма опублікована! Тепер користувачі зможуть завантажувати його та запускати так, ніби він запущений на їхніх власних комп’ютерах, тоді як він насправді знаходиться на сервері.

Служби віддаленого робочого стола (RDS): додавання першого користувача RDP

Після налаштування та налаштування середовища настав час додати нашого першого користувача RDP. Цей користувач зможе підключитися до сервера через RDP і використовувати його як термінальний сервер. Додати користувача RDP після розгортання RDS так само просто, як додати користувача в Active Directory. Клацніть правою кнопкою миші свій організаційний підрозділ («Відділи») і перейдіть до New -> User. Вам буде запропоновано ввести кілька різних полів. Поля користувача (ім’я, прізвище тощо) прості. Ім’я для входу користувача – це ім’я користувача. Якщо у вас кілька доменів, не забудьте вибрати правильний домен. Натисніть «ОК», і користувач створений.

Як заборонити користувачеві доступ до RDP?

Ви можете заборонити групам та/або користувачам доступ до RDP для кожного термінального сервера, відредагувавши локальну політику безпеки. Щоб отримати доступ до програми локальної політики безпеки, просто знайдіть її псевдонім secpol.msc.

Щоб заборонити доступ певним користувачам та/або групам, перейдіть до Local Policies -> User Rights Assignment. Налаштуйте параметр політики «Заборонити вхід через служби віддаленого робочого стола». Натиснувши «Додати користувача або групу...» та вибравши користувача чи групу, можна заборонити індивідуальний доступ до RDP. Користувачі, яким заборонено доступ до RDP, отримають таку помилку під час спроби входу в RDP:

Зауважте, що при цьому доступ до веб-інтерфейсу та RemoteApp не буде відмовлено, і користувач все одно зможе увійти там.

Служби віддаленого робочого столу (RDS): ліцензування

Служби віддаленого робочого столу не надаються Microsoft безкоштовно. Оскільки ця інформація може змінюватися в будь-який час, я рекомендую звернутися до веб-сайту Microsoft для отримання додаткової інформації про ліцензування, ціни та способи її налаштування:

• Огляд ліцензування віддаленого робочого столу
• Менеджер ліцензування віддаленого робочого столу

Використовуючи RDS без ліцензування та не лише в адміністративних цілях, ви порушуєте умови Microsoft. Ви можете повідомити про них на форумах TechNet .