Windows Server 2003是當(dāng)前使用最普遍的終端服務(wù)器平臺，但是在使用過程中會遇到這樣那樣的問題。下面筆者結(jié)合自身實踐，列舉三例比較典型的終端服務(wù)之痛，和大家探討醫(yī)治之道。

　　1、醫(yī)治“終端安全登錄”之痛

　　部署終端服務(wù)器后，出于安全考慮我們不希望某些用戶進行遠程登錄到終端服務(wù)器。Server 2003平臺的終端服務(wù)器默認情況下一個用戶可以在兩個客戶端進行遠程登錄。在某些特殊的情況下，我們只希望某個帳戶只能進行一個遠程登錄。以上的兩個應(yīng)用需求是很多管理員遇到并且比較困惑的。下面筆者分別敘述其實現(xiàn)方法。

　　(1).限制某些用戶登錄終端服務(wù)器，這在Server 2003上是非常容易實現(xiàn)的。在通常情況下，我們的終端服務(wù)使用的都是遠程桌面模式，客戶端通過遠程桌面登錄到終端服務(wù)器。因此我們可以從遠程桌面入手進行用戶登錄的限制，只給一些用戶登錄權(quán)限，對應(yīng)的其他用戶也就沒有權(quán)限了。

　　右擊“我的電腦”選擇“屬性”打開“系統(tǒng)屬性”窗口，點擊“遠程”選項卡，在“遠程桌面”下勾選“啟用這臺計算機上的遠程桌面”，開啟遠程桌面。然后點擊“選擇遠程用戶”按鈕，然后點擊“添加”按鈕根據(jù)事先指定的策略添加自己授權(quán)的可以進行遠程桌面連接的用戶。比如我們授權(quán)l(xiāng)w用戶，只需在“輸入對象名稱來選擇”下輸入即可，當(dāng)然也可以點擊“高級”按鈕，通過“立即查找”功能添加系統(tǒng)中存在的用戶。(圖1)

     

　　默認情況下，administrator用戶擁有登錄權(quán)限的，有時我們?yōu)榱税踩乐?font color="#16387c">攻擊者嘗試用其登錄登錄終端服務(wù)器。那如何禁止administrator遠程登錄終端服務(wù)器呢?最極端的方式是禁用administrator用戶，在命令提示符下輸入命令:net user administrator /active:no即可。還有可以通過組策略為administrator改名(計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項→帳戶：重命名系統(tǒng)管理員)。筆者推薦的做法是通過組策略取消administrator登錄終端服務(wù)器的權(quán)限，其組策略位置是：計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配，雙擊“通過終端服務(wù)允許登錄”，選擇administrators用戶，點擊刪除，然后添加許可的用戶即可。這樣，當(dāng)別人惡意嘗試登錄終端服務(wù)器的時候會彈出如圖的警告，拒絕登錄。(圖2)

     

　　(2).要實現(xiàn)一個用戶只能進行一次終端登錄，我們可以通過對終端服務(wù)器的設(shè)置來實現(xiàn)，操作步驟是：點擊“開始”，依次定位到“控制面板→管理工具→終端服務(wù)配置”，單擊“服務(wù)器設(shè)置”在詳細信息窗格中，右鍵單擊“限制每個用戶使用一個會話”，然后單擊“屬性”。勾選“限制每個用戶使用一個會話”復(fù)選框，然后單擊“確定”即可。(圖3)

     

　　2、醫(yī)治“超出最大允許連接數(shù)”之痛

　　通常情況下，企業(yè)中有多個管理員，他們都有權(quán)限可以登錄到終端服務(wù)器。默認情況下，administrator的遠程桌面連接數(shù)2個。如果此時正好有兩個管理員遠程桌面連接到終端服務(wù)器，那么第三個管理員就不能登陸，會提示“終端服務(wù)器超出了最大允許連接數(shù)”，無法進行登錄。(圖4)

     

　　另外，某些管理員遠程登錄結(jié)束后不是按照常規(guī)做法從終端服務(wù)器中注銷用戶，而是直接端口連接。這樣的話，雖然遠程用戶已經(jīng)斷開了與終端服務(wù)器的遠程桌面連接，但是session(會話)還停留在服務(wù)器端，也會有上面的提示造成無法登錄。

　　對于這一問題就筆者所知有四種解決辦法：

　　(1).本地登錄(控制臺登錄)到終端服務(wù)器，遠程登錄的用戶會自動被注銷。如果還有用戶沒有注銷，可以在打開“任務(wù)管理器”，點擊“用戶”標簽然后選擇遠程登的用戶點擊右鍵選擇“注銷”即可。(圖5)

      #p#副標題#e#

　　(2).如果終端服務(wù)器開啟了telnet服務(wù)，我們可以telnet到終端服務(wù)器，然后通過命令注銷(踢出)用戶。首先輸入命令“query user”查看當(dāng)前的登錄，然后選擇相應(yīng)的用戶通過命令logoff ID來注銷該用戶。其中ID是系統(tǒng)分配給用戶的標識，它是唯一的。比如我們輸入logoff 2，就注銷了ID為2的用戶的遠程登錄，那么其他用戶就可以登錄了。(圖6)

     

　　(3).限制已經(jīng)斷開連接的session存在的時間，當(dāng)超過時間后會自動進行注銷，其原理是修改終端服務(wù)器配置來實現(xiàn)的。操作步驟是：

　　第一步：點擊“開始”，依次定位到“控制面板→管理工具→終端服務(wù)配置”，在“終端服務(wù)配置”

　　窗口，點擊左側(cè)的“連接”然后雙擊窗格右側(cè)的“RDP-Tcp”打開其屬性設(shè)置對話框。(圖7)

     

　　第二步：點擊“會話”標簽，勾選“替代用戶設(shè)置”激活下面的選項，然后在“結(jié)束已斷開的會話”后面的下拉列表中選擇一個時間，比如我們選擇30分鐘。這樣當(dāng)斷開連接30分鐘內(nèi)沒有再次連接的話，系統(tǒng)就會技術(shù)這個session(會話)。(圖8)

     

　　第三步：點擊“網(wǎng)卡”標簽，修改“最多連接數(shù)”，默認是2，大家可以根據(jù)自己的需要進行修改。不過，數(shù)字不宜過大，否則會占用終端服務(wù)器的系統(tǒng)資源。

　　(4).上面的三個方法可以解決問題，但筆者認為最徹底的解決方案是增加終端服務(wù)器的連接數(shù)，我們通過組策略來實現(xiàn)，操作步驟是：

　　第一步：點擊“開始→運行”，輸入gpedit.msc打開組策略編輯器，依次展開“計算機配置→管理模板→Windows 組件→終端服務(wù)”，雙擊右邊的“限制連接數(shù)量”，點選“已啟用”，在“TS 允許的最大連接數(shù)”后面根據(jù)自己的需要輸入一個連接數(shù)。

　　第二步：點擊左側(cè)的“會話”，然后雙擊右側(cè)的“為斷開的會話設(shè)置時間限制”，點選“已啟用”，在“結(jié)束斷開連接的會話”后的下拉列表中選擇一個時間，比如我們選擇“30分鐘”。(圖9)

     

　　3、醫(yī)治“終端服務(wù)授權(quán)”之痛

　　用windows server 2003做服務(wù)器的人都知道其安全性能比以前的windows版本高出很多，但是也帶來很多麻煩，其中終端授權(quán)就是一例。在Server 2003中服務(wù)器最重要的遠程管理“終端服務(wù)”居然要求授權(quán)，要許可證，否則120天過期需要購買授權(quán)。這是讓管理員們非常郁悶的事情，其實這個問題可以得到很好的解決。我們通過如下的操作即可解除該認證限制。

　　在Server 2003上首先開啟終端服務(wù)，然后依次執(zhí)行“控制面板→添加刪除程序→添加/刪除windows組件”，在“Windows組件向?qū)?rdquo;窗口的“組件”下取消對“終端服務(wù)器”和“終端服務(wù)器授權(quán)”的勾選，然后點擊“下一步”刪除這兩個系統(tǒng)組件。在刪除完成后，系統(tǒng)會提示會提示我們重新啟動計算機，這時候千萬不要重啟一定要點“否”，否則我們的操作就前功盡棄了。(圖10)

     

　　然后點擊右鍵點擊“我的電腦”選擇“屬性”，依次點擊定位到“遠程→遠程桌面” ，勾選“啟用這臺計算機上的遠程桌面”，之后會得到提示，不用理它點擊“確定”應(yīng)用即可?，F(xiàn)在，重新啟動計算機大功告成，不用任何第三方破解軟件輕松破解了Windows 2003的終端服務(wù)器許可。

　　總結(jié)：終端服務(wù)在當(dāng)前的某些行業(yè)中仍然發(fā)揮著巨大的作用，有著廣泛的用途。其實，何止這些，在企業(yè)環(huán)境中我們也可以通過終端服務(wù)器實現(xiàn)某些特殊的應(yīng)用。讓我們繼續(xù)深入挖掘，使其更好地為我們服務(wù)。