中财网康宝生物科技有限公司:远程桌面深度剖析及使用
来源:百度文库 编辑:中财网 时间:2024/04/30 02:22:39
安全系列之三:域环境下远程桌面深度剖析及使用
http://jary3000.blog.51cto.com/610705/128028
版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。
各位都知道,在生产企业里,远程桌面是一种很好的管理方式,特别对于服务器的管理更是快捷,当然也可以管理域内的客户端,今天我们就来探讨一下如何启用域的成员服务器和客户端的远程桌面功能,来对这些客户端实现统一管理。
我们今天的环境是域环境,如下图所示:有三个OU,其中Domain Controllers是该域内的所有的DC,Member Server OU里有各种成员服务器,如文件服务器,邮件服务器等;Domain Client OU里有所有域内的其它客户端。该模型仅是一个理论模式,具体的生产环境可做相应的调整。
我们的思路是:
1. 把相应的服务器或客户端机器放到相应的OU里。
2. 针对相应的OU实施组策略,并进行相应的设置。
3. 统一设置可以远程桌面连接的用户组成员。
4. 在DC上安装相应的远程桌面辅助工具,通过dsa.msc远程管理各种类型的机器。
操作步骤:
一、把相应的服务器或客户端机器放到相应的OU里
这个操作就不详细说明了,打开dsa.msc后,新建对应的OU,然后把相应的机器拖到对应的OU里就可以了。如下图所示:
在这里:成员服务器是n2.net.com,是一台windows2003的机器。而域内的普通客户端是client.net.com,是一台winxp的机器。
注:Domain Controllers OU里是域内的所有的DC。
二、针对相应的OU实施组策略,并进行相应的设置。这一步最关键!
我们利用微软的gpmc.msc来完成组策略的创建,并完成相应的设置。有关这个工具的下载,各位可到微软网站上免费下载。
(一)Member Server OU 的设置:
打开gpmc.msc,如下图所示:
再如下图,右击并编辑这条策略,设置如下:
如果机器启用了"windows防火墙",则必须进行如下设置,让“远程桌面”可以通过防火墙,设置如下:
(二)Domain Client OU的设置
设置和Member Server OU的设置相同。不再赘述。
(三)Domain Controller OU的设置
对于此OU的设置基本上同上,注意在这个OU上有一个默认的GPO,即Default Domain Controller Policy,直接编辑此GPO就可以了。
三、统一设置可以远程桌面连接的用户组成员。
在默认状态下,只有管理员组的成员才可以进行远程桌面的连接,如果你想让某个用户成为“远程桌面组”成员,你还要进行相应的设置。
即把某个管理的用户加入到Remote Desktop Users。在这里我们直接编辑“Default domain policy”,如下所示:
设置完此项后,客户端可以通过gpupdate /force刷新并应用组策略,然后在客户端,右击“我的电脑”--选属性,查看“远程”项,如下所示:
注:对于Domain Controllers OU组的成员,即DC除了上述具体的设置外,还必须进行如下设置,因为DC的安全性较高,默认状态下,只有administrators组的成员才可以进行“远程桌面的连接”,因此必须把相应可以对DC进行远程桌面连接的用户授予可以进行“终端服务器登录”权限。如下设置:
四、在DC上安装相应的远程桌面辅助工具,通过dsa.msc远程管理各种类型的机器。
其实在这里,不用借助地其它工具,也可以远程桌面其它机器了,但做为一名管理员,如何使远程桌面连接更方便快捷,借助于这个工具无疑提高了工作效率。
这个工具“rControlAD1.3.EXE”可以从微软网站上下载,我会在后面给各位附上。
工具的使用:
1. 首先把双击安装包rControlAD1.3.EXE,解压到某个目录下,如C:\rdp。解压后有三个文件,如下:
2. 复制rcontrol.exe文件到C:\windows目录下,做为客户端连接工具。
3. 双击rcontrol_setup.exe安装到系统中,安装结束后,你再打开dsa.msc(AD用户和计算机)工具后,再右击任意一台计算机,就会多出一项,如下:
单击此项后,如下所示:
已经可以连接到这台计算机了。
扩展+小结:
其实我们在企业里管理各种计算机,更多的不一定到DC上去管理,你可以在你所在的机器上安装2003的管理工具包,这个包可以在03光盘的I386目录下或在2003计算机的%systemroot%\system32下,文件名是adminpak.msi,安装到你的机器上就可以了,这里你会发现在“管理工具”里多出了很多03的管理工具。可以直接使用。打开"AD用户和计算机"工具,右击任意一台计算机,也可以看到Remote Control一项,不过你必须把rcontrol.exe 这个客户端工具复制这台计算机的windows目录下。
注:把这个工具包下载后,改后缀为.exe即可使用。
本文出自 “千山岛主之微软技术空间站” 博客,转载请与作者联系!
本文出自 51CTO.COM技术博客
附件下载:
远程管理工具包
http://jary3000.blog.51cto.com/610705/128028版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。
各位都知道,在生产企业里,远程桌面是一种很好的管理方式,特别对于服务器的管理更是快捷,当然也可以管理域内的客户端,今天我们就来探讨一下如何启用域的成员服务器和客户端的远程桌面功能,来对这些客户端实现统一管理。
我们今天的环境是域环境,如下图所示:有三个OU,其中Domain Controllers是该域内的所有的DC,Member Server OU里有各种成员服务器,如文件服务器,邮件服务器等;Domain Client OU里有所有域内的其它客户端。该模型仅是一个理论模式,具体的生产环境可做相应的调整。
我们的思路是:
1. 把相应的服务器或客户端机器放到相应的OU里。
2. 针对相应的OU实施组策略,并进行相应的设置。
3. 统一设置可以远程桌面连接的用户组成员。
4. 在DC上安装相应的远程桌面辅助工具,通过dsa.msc远程管理各种类型的机器。
操作步骤:
一、把相应的服务器或客户端机器放到相应的OU里
这个操作就不详细说明了,打开dsa.msc后,新建对应的OU,然后把相应的机器拖到对应的OU里就可以了。如下图所示:
在这里:成员服务器是n2.net.com,是一台windows2003的机器。而域内的普通客户端是client.net.com,是一台winxp的机器。
注:Domain Controllers OU里是域内的所有的DC。
二、针对相应的OU实施组策略,并进行相应的设置。这一步最关键!
我们利用微软的gpmc.msc来完成组策略的创建,并完成相应的设置。有关这个工具的下载,各位可到微软网站上免费下载。
(一)Member Server OU 的设置:
打开gpmc.msc,如下图所示:
再如下图,右击并编辑这条策略,设置如下:
如果机器启用了"windows防火墙",则必须进行如下设置,让“远程桌面”可以通过防火墙,设置如下:
(二)Domain Client OU的设置
设置和Member Server OU的设置相同。不再赘述。
(三)Domain Controller OU的设置
对于此OU的设置基本上同上,注意在这个OU上有一个默认的GPO,即Default Domain Controller Policy,直接编辑此GPO就可以了。
三、统一设置可以远程桌面连接的用户组成员。
在默认状态下,只有管理员组的成员才可以进行远程桌面的连接,如果你想让某个用户成为“远程桌面组”成员,你还要进行相应的设置。
即把某个管理的用户加入到Remote Desktop Users。在这里我们直接编辑“Default domain policy”,如下所示:
设置完此项后,客户端可以通过gpupdate /force刷新并应用组策略,然后在客户端,右击“我的电脑”--选属性,查看“远程”项,如下所示:
注:对于Domain Controllers OU组的成员,即DC除了上述具体的设置外,还必须进行如下设置,因为DC的安全性较高,默认状态下,只有administrators组的成员才可以进行“远程桌面的连接”,因此必须把相应可以对DC进行远程桌面连接的用户授予可以进行“终端服务器登录”权限。如下设置:
四、在DC上安装相应的远程桌面辅助工具,通过dsa.msc远程管理各种类型的机器。
其实在这里,不用借助地其它工具,也可以远程桌面其它机器了,但做为一名管理员,如何使远程桌面连接更方便快捷,借助于这个工具无疑提高了工作效率。
这个工具“rControlAD1.3.EXE”可以从微软网站上下载,我会在后面给各位附上。
工具的使用:
1. 首先把双击安装包rControlAD1.3.EXE,解压到某个目录下,如C:\rdp。解压后有三个文件,如下:
2. 复制rcontrol.exe文件到C:\windows目录下,做为客户端连接工具。
3. 双击rcontrol_setup.exe安装到系统中,安装结束后,你再打开dsa.msc(AD用户和计算机)工具后,再右击任意一台计算机,就会多出一项,如下:
单击此项后,如下所示:
已经可以连接到这台计算机了。
扩展+小结:
其实我们在企业里管理各种计算机,更多的不一定到DC上去管理,你可以在你所在的机器上安装2003的管理工具包,这个包可以在03光盘的I386目录下或在2003计算机的%systemroot%\system32下,文件名是adminpak.msi,安装到你的机器上就可以了,这里你会发现在“管理工具”里多出了很多03的管理工具。可以直接使用。打开"AD用户和计算机"工具,右击任意一台计算机,也可以看到Remote Control一项,不过你必须把rcontrol.exe 这个客户端工具复制这台计算机的windows目录下。
注:把这个工具包下载后,改后缀为.exe即可使用。
本文出自 “千山岛主之微软技术空间站” 博客,转载请与作者联系!
本文出自 51CTO.COM技术博客
附件下载:
远程管理工具包