Смекни!
smekni.com

Сравнительный анализ и оценка эксплутационных характеристик различных терминальных устройств информации (стр. 7 из 13)

Оставшиеся три настройки -Licensing, PermissionCompatibilityиRestricteachusertoonesession- требуют чуть большего внимания и понимания.Они зависят от вашей среды и приложений, которые вы инсталлируете на терминальном сервере.[31]

В Win2K при установке TerminalServices вам предлагалось выбрать режим совместимости - разрешения, совместимые с Windows 2000 или с TerminalServer 4.0. В Windows 2003 Microsoft сосредоточилась на безопасности, теперь в WS2K3 по умолчанию режим FullSecurity. В этом режиме в W2K3 пользователи, отличные от администраторов, не могут изменять ключ реестра HKEY_LOCAL_MACHINE и записывать файлы в любое место диска, кроме каталога своего профиля.[32]

Если вам попалось приложение, которое не может выполняться в режиме FullSecurity, вам может потребоваться изменить режим на RelaxedSecurity (ослабленная безопасность). Используйте этот режим в крайнем случай, поскольку он открывает сервер для нежелательных изменений со стороны обычных пользователей.

Следующая настройка относится к режиму лицензирования. Она контролирует, какие типы лицензий термнальный сервер будет запрашивать у сервера лицензирования от имени клиентов. В большинстве случаев значение по умолчанию PerDevice, это означает, что вы должны установить на сервере лицензирования лицензии "PerDevice" для WS2K3 TerminalServer. Однако, если вы обновляете терминальный сервер Win2K, использующий InternetConnectorLicensing, то вам нужно установить лицензирование PerUser.

Выбор режима зависит от вашей среды. Если у вас есть пользователи, которые имеют несколько устройств, с которых они могут подключаться, то оптимальным будет выбор лицензирования PerUser. Если же одним компьютером пользуются несколько разных пользователей, то лучше PerDevice - например, если компьютер стоит в службе круглосуточной поддержки и используется тремя пользователями в три смены. Лицензирование PerDevice означает, что вам понадобится только один маркер лицензии для всех троих пользователей. Если вы установите режим лицензирования PerUser, то сервер также будет проверять и принимать соединения с устройств, уже получивших маркер PerDevice.[33]

Ограничить пользователя одним сеансом (RestrictEachUsertoOneSession). Включение этой опции предотвращает устанавливать пользователями несколько сеансов на одном сервере, что позволяет экономить его ресурсы, разрешая одному пользователю установить только один сеанс и запускать приложения только в этом сеансе. Учтите, если вы собираетесь предоставлять прямой доступ к индивидуальным приложениям за пределами рабочего стола, то пользователям может потребоваться запустить более одного приложения одновременно.[34]

CitrixMetaFrame поддерживает совместное использование сеанса (sessionsharing). Это позволяет пользователю запускать несколько опубликованных приложений на том же сервере без создания отдельного сеанса для каждого из них.[35]

На следующем рисунке показан узел соединений. В этом узле вы можете настраивать тайм-ауты, безопасность и перенаправление ресурсов клиента.

По умолчанию вы видите только одно соединение RDP-Tcp. Если у вас многоадресный (multihomed) севрер, то вы можете изменить определение соединения по умолчанию так, чтобы оно применялось только к одному сетевому интерфейсу, а затем создать новое соединение для другого интерфейса. Если вы инсталлировали CitrixMetaFrame, то увидите здесь еще и соединения ICA; но их лучше настраивать с помощью CitrixConnectionConfiguration.[36]

Щелкнув правой кнопкой на соединении, вы можете целиком его запретить, переименовать или получить доступ к свойствам. Если вы знакомы с Win2KTerminalServicesConfiguration, то интерфейс WS2K3 покажется вам знакомым, с добавлением новых особенностей RDP 5.2 и новой модели "полной безопасности".

Вкладка General свойств RDP-Tcp позволяет добавить комментарии к соединению и установить уровень шифрования. WS2K3 предлагает новые уровни шифрования:

· Low - Все данные от клиента к серверу защищаются 56-битным алгоритмом.

· ClientCompatible (по умолчанию) - Все данные между сервером и клиентом шифруются используя максимальную силу ключа, поддерживаемую клиентом.

· High - Все данные между сервером и клиентом шифруются используя максимальную силу ключа, поддерживаемую сервером. Клиенты, не способные поддерживать заданный уровень шифрования, не смогут подключиться.

· FIPSCompliant - Все данные между сервером и клиентом шифруются, используя методы FederalInformationProcessingStandard (FIPS) 140-1

На вкладке LogonSettings вы можете указать, чтобы пользователи регистрировались под своими именами или указать единую учетную запись для автоматического входа. [37]

Вкладка Sessions содержит тайм-ауты для разъединенных, холостых и активных сеансов. Разъединенный сеанс - это такой сеанс, в котором пользователь активно отключился от сервера, закрыв окно соединения, но не выбрав из меню Start опцию "Disconnect". Холостой (idle) сеанс - это сеанс с открытым окном, но пользователь не нажимал клавиши и не двигал мышью в течении заданного периода времени. Если сеанс теряет сетевое соединение или наступает тайм-аут холостого сеанса, то вы можете выбрать, как поступать в этом случае - завершить сеанс или считать сеанс разъединенным.[38]

Вкладка Environment позволяет указать некоторую программу, запускаемую при подключении клиента к серверу. Вы должны указать как путь, так и имя исполняемого файла. При подключении любого пользователя, включая администратора, вместо WindowsExplorer будет запущена указанная программа. Многие администраторы ошибаются, думая что настройка здесь аналогична папке "Автозагрузка" (Startup) меню Start, которая автоматически запускает программу при регистрации пользователя. Это не так - указанная здесь программа заменяет оболочку Explorer.[39]

Когда администратор хочет удаленно подключиться к существующему пользовательскому сеансу, то это называется shadowing, или удаленное управление. На вкладке RemoteControl вы можете настроить значения по умолчанию для наследования настроек из пользовательских настроек, или можете указать здесь свои собственные для этого сервера. Если вы указываете настройки здесь, то можете разрешить или запретить, чтобы пользователь давал согласие на удаленное управление (через всплывающее окно), а также можете установить уровень взаимодействия с пользовательским сеансом - только наблюдение или взаимодействие. Если вы выбрали взаимодействие (interactwiththesession), то администратор может управлять мышью и клавиатурой пользователя от лица пользователя. Вы также можете вообще запретить удаленное управление.[40]

Вкладка ClientSettings позволяет переопределить перенаправление следующих ресурсов клиента:

· Драйвы

· Принтеры

· Порты LPT

· Порты COM

· Буфер обмена

· Аудио

Вкладки NetworkAdapter и Permissions служат для настройки параметров сервера. На вкладке NetworkAdapter вы можете указать, что настройки относятся ко всем сетевым адаптерам или только к указанному. На вкладке Permissions вы указываете, кто имеет право подключения к серверу по протоколу RDP, а также уровень их привилегий:

Вкладка NetworkAdapter также позволяет ограничить максимальное число соединений, допустимое для указанного сетевого адаптера или для всего сервера, если установлено "Allnetworkadaptersconfiguredwiththisprotocol".[41]

Вкладка Permissions несколько отличается от той, что была в Win2K. В Win2K, привилегии по умолчанию позволяли всем пользователям всех доверительных доменов подключаться к терминальному серверу сразу после его установки. В WS2K3 безопасность прежде всего, и подключение разрешено только администраторам и членам группы RemoteDesktopUsers. Учтите, что группа RemoteDesktopUsers изначально пустая, поэтому чтобы ваши пользователи могли подключаться к терминальному серверу, вы должны их добавить в эту группу.

Если вы находитесь в домене AD, то для управления членами группы RemoteDesktopUsers вы можете использовать настройку ManagedGroup в групповой политике.

В WS2K3 в редактор групповых политик добавлено большое количество новых параметров, недоступных в Win2K. Если терминальный сервер находится в среде AD, вы получите большое преимущество от групповых политик; но даже если он находится в рабочей группе или в домене NT 4.0, настройки терминального сервера все равно доступны через политику локальной машины. Эти настройки доступны через редактор групповых политик (GroupPolicyEditor).[42]

Для доступа к локальному редактору групповых политик, запустите с комадной строки GPEDIT.MSC. Откройте узел TerminalServices в разделе ComputerConfiguration, AdministrativeTemplates, WindowsComponents, TerminalServices.[43]

Настройки разбиты на несколько категорий: Encryption (шифрование), Licensing (лицензирование), Sessions (сеансы) и т.д. Вы обнаружите, что некоторые настройки идентичны тем, что находятся в TerminalServicesConfiguration. Это сделано для того, чтобы вы могли централизованно управлять настройками серверов без необходимости конфигурировать каждый сервер вручную. Вот некотрые из настроек:

· SetpathforTSRoamingProfiles (установить маршрут для перемещаемых профилей) - Эта настройка позволяет указать сервер и папку общего доступа, в которой следует хранить перемещаемые профили пользователей. Вы также можете указать путь к терминальному профилю для каждой учетной записи пользователя. Эта настройка позволяет не только переопределить пользовательские настройки в зависимости от сервера, но и позволяет указать другой профиль для терминального сервера для группы терминальных серверов. Это полезно, если вы имеете географически распределенную ферму терминальных серверов и пользователи перемещаются между ними.

· TSUserHomeDirectory (домашний каталог терминального пользователя) - Эта настрока аналогична предыдущей, но указывает сервер и папку для создания домашнего каталога для пользователей, регистрирующихся на терминальных серверах. [44]