引言: 遠程桌面為網絡資源共享和管理提供便利的同時,也帶來了一些安全隱患。如何有效監管遠程用戶行為,是網管員較為關心的一個問題。本文以Windows Server 2012 R2系統為例,介紹如何了解遠程用戶在線名單以及限制遠程用戶會話。
在Windows Server 2012 R2中如何了解遠程用戶的在線名單呢?方式有多種,首先可以通過任務管理器Task Manager,從頁面上 Users欄目可以看到當前登錄的用戶名單,通過右鍵菜單Session選項,即可甄別哪些是遠程桌面用戶。另外,通過行命令quser也可以解決,需要了解特定的遠程服務器時尤其便利,命令為:quser /server contososrv1,其 中,contososrv1指遠程服務器。
還有一個命令qwinsta,不僅可以顯示所有登錄用戶,而且還顯示用戶登錄是通過控制臺方式還是通過遠程會話方式RDP session。
對遠程用戶的管理中筆者遇到了這樣的情況:當同一個用戶反復登錄遠程系統時,系統就會為其分配不同會話,對遠程管理造成麻煩,為此需要將其設置為只允許使用同一個會話。具體設置方式如下。
1.首先需要打開“遠程桌面會話主機配置”菜單,為此單擊“開始”,依次指向“管理工具”和“遠程桌面服務”,然后單擊“遠程桌面會話主機配置”。
2.設置“限制每個用戶只能進行一個會話”選項:在“編輯設置”區域“常規”下雙擊“限制每個用戶只能進行一個會話”,在“屬性”對話框“常規”選項卡選中“限制每個用戶只能進行一個會話”復選框,然后單擊“確定”。
另外,也可以通過組策略配置限制遠程桌面用戶使用同一個會話,該組策略設置位于“計算機配置策略管理模板Windows組件遠程桌面服務遠程桌面會話主機連接”中,可以使用本地組策略編輯器或組策略管理控制臺(GPMC)進行配置。
值得說明的是,此組策略設置將優先于遠程桌面會話主機配置中的配置設置。
圖1 限制連接數量屬性界面
Windows Server 2012默認時允許可運行2個用戶遠程桌面登錄,這顯然難以滿足實際需要,為此,可以通過安裝遠程桌面會話主機配置來實現2個以上用戶的遠程桌面登錄。
1.首先安裝桌面會話主機和遠程桌面授權:通過“控制面板”打開“服務器管理器”,選擇“基于角色或基于功能的安裝”,在安裝界面點擊“下一步”。
2.依次選擇“遠程桌面服務”以及“桌面會話主機和遠程桌面授權”,點擊“安裝”后重新啟動后設置便會生效。
3.點 擊“運 行→gpedit.msc→計算機配置→管理模板→Windows組件→遠程桌面服務→遠程桌面會話主機→授權”,找到“使用指定的遠程桌面許可服務器”,設置為啟用,并在“要使用的許可證服務器”中設置當前服務器的IP或主機名。
4.點擊“運行→gpedit.msc→計算機配置→管理模板→Windows組件→終端服務”,找到 “限制連接數量”,可以設置具體數量。當然,也可設置為Disable,即禁用(如圖1)。
5.點擊“運行→gpedit.msc→計算機配置→管理模板→Windows組件→遠程桌面服務→遠程桌面會話主機→授權”,找到“設置遠程桌面授權模式”,設置為啟用,并在“指定RD會話主機服務器授權模式”中選擇“按用戶”。
6.單擊“運行→gpedit.msc→計算機配置→管理模板→Windows組件→遠程桌面服務→遠程桌面會話主機→連接,可以在“限制連接的數量”中設置最大連接數量(默認無限制)。設置一個用戶是否可以使用多個遠程桌面連接,選擇“將遠程桌面服務限制到單獨的遠程桌面會話”,這里必須設置禁用,否則一個用戶只能連接一個遠程桌面。