監控遠程用戶行為

引言： 遠程桌面為網絡資源共享和管理提供便利的同時，也帶來了一些安全隱患。如何有效監管遠程用戶行為，是網管員較為關心的一個問題。本文以Windows Server 2012 R2系統為例，介紹如何了解遠程用戶在線名單以及限制遠程用戶會話。

了解遠程在線用戶

在Windows Server 2012 R2中如何了解遠程用戶的在線名單呢？方式有多種，首先可以通過任務管理器Task Manager，從頁面上 Users欄目可以看到當前登錄的用戶名單，通過右鍵菜單Session選項，即可甄別哪些是遠程桌面用戶。另外，通過行命令quser也可以解決，需要了解特定的遠程服務器時尤其便利，命令為：quser /server contososrv1，其 中，contososrv1指遠程服務器。

還有一個命令qwinsta，不僅可以顯示所有登錄用戶，而且還顯示用戶登錄是通過控制臺方式還是通過遠程會話方式RDP session。

限制遠程桌面用戶使用同一個會話

對遠程用戶的管理中筆者遇到了這樣的情況：當同一個用戶反復登錄遠程系統時，系統就會為其分配不同會話，對遠程管理造成麻煩，為此需要將其設置為只允許使用同一個會話。具體設置方式如下。

1.首先需要打開“遠程桌面會話主機配置”菜單，為此單擊“開始”，依次指向“管理工具”和“遠程桌面服務”，然后單擊“遠程桌面會話主機配置”。

2.設置“限制每個用戶只能進行一個會話”選項：在“編輯設置”區域“常規”下雙擊“限制每個用戶只能進行一個會話”，在“屬性”對話框“常規”選項卡選中“限制每個用戶只能進行一個會話”復選框，然后單擊“確定”。

另外，也可以通過組策略配置限制遠程桌面用戶使用同一個會話，該組策略設置位于“計算機配置策略管理模板Windows組件遠程桌面服務遠程桌面會話主機連接”中，可以使用本地組策略編輯器或組策略管理控制臺（GPMC）進行配置。

值得說明的是，此組策略設置將優先于遠程桌面會話主機配置中的配置設置。

在Windows Server 2012中實現允許多個用戶遠程桌面登錄

圖1 限制連接數量屬性界面

Windows Server 2012默認時允許可運行2個用戶遠程桌面登錄，這顯然難以滿足實際需要，為此，可以通過安裝遠程桌面會話主機配置來實現2個以上用戶的遠程桌面登錄。

1.首先安裝桌面會話主機和遠程桌面授權：通過“控制面板”打開“服務器管理器”，選擇“基于角色或基于功能的安裝”，在安裝界面點擊“下一步”。

2.依次選擇“遠程桌面服務”以及“桌面會話主機和遠程桌面授權”，點擊“安裝”后重新啟動后設置便會生效。

3.點 擊“運 行→gpedit.msc→計算機配置→管理模板→Windows組件→遠程桌面服務→遠程桌面會話主機→授權”，找到“使用指定的遠程桌面許可服務器”，設置為啟用，并在“要使用的許可證服務器”中設置當前服務器的IP或主機名。

4.點擊“運行→gpedit.msc→計算機配置→管理模板→Windows組件→終端服務”，找到 “限制連接數量”，可以設置具體數量。當然，也可設置為Disable，即禁用（如圖1）。

5.點擊“運行→gpedit.msc→計算機配置→管理模板→Windows組件→遠程桌面服務→遠程桌面會話主機→授權”，找到“設置遠程桌面授權模式”，設置為啟用，并在“指定RD會話主機服務器授權模式”中選擇“按用戶”。

6.單擊“運行→gpedit.msc→計算機配置→管理模板→Windows組件→遠程桌面服務→遠程桌面會話主機→連接，可以在“限制連接的數量”中設置最大連接數量（默認無限制）。設置一個用戶是否可以使用多個遠程桌面連接，選擇“將遠程桌面服務限制到單獨的遠程桌面會話”，這里必須設置禁用，否則一個用戶只能連接一個遠程桌面。