Сквозная авторизация на терминальном сервере (Инструкция пятая) – acisi — LiveJournal

“удаленный помощник”

Технология ” Удаленного помощника ” предназначена для удаленного управления компьютерами под управлением систем Windows XP/2003 с помощью подключения к рабочему столу удаленного компьютера. “Удаленный помощник” использует протокол управления удаленным рабочим столом ( Remote Desktop Protocol, RDP ).

” Удаленный помощник ” предназначен в первую очередь для оказания помощи в работе пользователям, испытывающим те или иные проблемы. Используя ” Удаленный помощник “, сетевой администратор может, не покидая своего рабочего места, подключиться к рабочему столу системы Windows на ПК пользователя и совместно с ним решить возникшие проблемы.

Пользователь, нуждающийся в помощи администратора, посылает запрос на оказание поддержки, используя один из следующих способов:

По умолчанию разрешение на использование ” Удаленного помощника ” в системе Windows отключено. Разрешить использование ” Удаленного помощника ” можно через Свойства компьютера, закладка ” Удаленное использование ” (или ” Удаленные сеансы “), поставив галочку для поля ” Удаленный помощник ” (рис. 14.9).

Рассмотрим на примере процесс создания запроса, ответа на запрос, подключения к рабочему столу пользователя и совместной работы в одном и том же сеансе системы Windows пользователя и администратора. В данном примере пользователь и администратор оба работают в системе Windows 2003 Server (иллюстрации для Windows XP отличаются незначительными деталями).

  1. Отправка пользователем запроса администратору на подключение ” Удаленного помощника “.

    Запрос инициируется из ” Центра справки и поддержки ” системы Windows: кнопка ” Пуск ” — ” Справка и поддержка “. В результате открывается окно ” Центра справки и поддержки ” (рис. 14.10):

  1. В правой верхней части данного окна щелкаем по ссылке “Удаленный помощник”, получаем окно отправки приглашения (рис. 14.11):
  1. Переходим по ссылке ” Отправить приглашение “, ” Центр справки и поддержки ” предлагает варианты способа связи с помощником (рис. 14.12):

“удаленный рабочий стол”

Теперь обсудим Службы терминалов системы Windows Server.

Службы терминалов являются многосеансовой средой, которая разрешает доступ удаленных компьютеров к рабочему столу сервера. Службы терминалов включают в себя средства администрирования, которые можно использовать для управления серверами и подключениями. Кроме того, службы терминалов включают в себя программное обеспечение клиента для поддержания клиентов Windows.

Службы терминалов обеспечивают поддержку работы т.н. ” тонких клиентов “. В среде ” тонкого клиента ” только изображение на мониторе, нажатия клавиш клавиатуры и движения мыши пересылаются между сервером и клиентом. Все процессы происходят и обрабатываются только на сервере, что значительно снижает требования к системным ресурсам на стороне клиента.

Как уже говорилось выше, службы терминалов использует протокол удаленного рабочего стола ( Remote Desktop Protocol, RDP ) для передачи данных между клиентом и сервером служб терминалов. Протокол RDP работает только поверх протокола TCP/IP и использует порт 3389 на сервере терминалов.

Службы терминалов могут работать в одном из двух режимов:

Поскольку данный раздел посвящен удаленному управлению, мы подробнее остановимся на режиме удаленного управления, а затем вкратце обсудим режим сервера приложений.

Выбор между виртуализацией и терминальным сервером

У виртуализации и использования терминального сервера немало общего. И та, и другая технология подразумевают удалённый доступ пользователей к серверу для запуска нужных им приложений и выполнения актуальных для них задач. И в том, и в другом случае обеспечиваются все преимущества, перечисленные выше — экономия на оснащении рабочих мест, информационная безопасность, отсутствие необходимости закупать ПО для каждого сотрудника и другие.

При таком сходстве у многих неспециалистов возникает закономерный вопрос — в чём же тогда заключаются отличия между виртуализацией и использованием терминального сервера, и какое из двух решений выбрать для внедрения в компании? Будем разбираться вместе!

При работе с терминальным сервером все пользователи используют под персональными учётными записями одну и ту же операционную систему — MS Windows Server или другую. Для изоляции пользователей в ней создаются отдельные сессии, в которых запускаются необходимые приложения из числа установленных на сервере (отметим, что запустить таким способом можно далеко не каждое приложение).

Пользователи не имеют прав администратора и не могут менять конфигурацию Windows или другой операционной системы. Любой сбой, по той или иной причине возникший в ней, закономерно отражается на всех пользователях — ОС, установленная на терминальном сервере, одна на всех.

Технология виртуализации реализована иначе. На сервере для каждого клиента создаётся виртуальная машина — по сути, полноценный компьютер, хоть и не существующий физически. На неё устанавливается самостоятельная операционная система, а в неё, в свою очередь, необходимые пользователю приложения.

Сотрудник, работающий в виртуальной машине, получает гораздо большую степень самостоятельности, чем тот, кто использует сессию на терминальном сервере — он может менять настройки ОС по своему усмотрению, удалять приложения и устанавливать новые. Сбои, возникающие в виртуальных машинах соседних пользователей, никак не влияют на работу сотрудника в своей.

Итак, мы видим, что ключевое отличие между использованием терминального сервера и виртуализацией заключается в степени изоляции пользователей. В первом случае она обеспечивается лишь на уровне сессий, то есть её степень сравнительно невысока. Во втором случае пользователи изолированы друг от друга гораздо серьёзнее — на уровне самостоятельных виртуальных компьютеров, никак не взаимодействующих друг с другом.

Похожее:  Энергосбытовая компания "Восток"

Принимайте решение о выборе той или иной технологии с учётом масштаба IT-инфраструктуры вашего предприятия. В небольших и средних компаниях, как правило, оказывается целесообразным использование терминального сервера, в крупных и разветвлённых корпорациях и холдингах — виртуализация.

Завершение сеанса работы на сервере терминалов

Существуют несколько вариантов прекращения работы в терминальной сессии. Если мы создали сессию на сервере терминалов с учетной записью администратора, то варианты будут такие (рис. 14.25):

У простого пользователя будут доступны только первые два варианта — ” Завершение сеанса ” и ” Отключение сеанса “.

Выбор варианта завершения работы клиента терминалов зависит от конкретной ситуации. Если вы завершаете работу с приложениями и не планируете продолжение работы, то надо завершить сеанс. Если вы запустили какие-либо приложения в терминальной сессии (например, обработку большого объема данных), то можно отключить сеанс, а через некоторое время подключиться к нему снова и посмотреть на результаты работы нужной вам программы.

Зачем нужен и как применяется терминальный сервер?

Современные приложения ресурсоёмки и требовательны к мощности компьютеров, на которые устанавливаются. Одно дело, если в маленькой компании порядка пяти рабочих мест — на каждое из них вполне можно установить полноценный ПК без особого ущерба для бюджета.

Руководству больше не нужно выделять средства на покупку, к примеру, тридцати полноценных компьютеров — понадобится один сервер, пусть и довольно мощный. На рабочие места сотрудников устанавливаются так называемые тонкие клиенты — дешёвые компьютеры начального уровня.

К их мощности практически не предъявляется требований — этим ПК не придётся выполнять сложные вычисления. Общая сумма закупки существенно уменьшается, при этом всем сотрудникам обеспечиваются высокая производительность и удобство при использовании рабочих приложений.

Перед началом работы на сервере терминалов создаются сессии для сотрудников. Используя свои тонкие клиенты, они подключаются к серверу и начинают работать в сессиях, запуская нужные им приложения, создавая документы, общаясь с коллегами, выполняя другие задачи.

Описанная выше схема, помимо возможности сэкономить средства компании на закупке компьютерной техники, имеет ещё несколько важных достоинств. В их числе:

  • возможность наделять разных пользователей сервера разными правами. Так, рядовым сотрудникам можно дать права только на чтение информации, более высокопоставленным — на её изменение;

  • высокий уровень безопасности всей IT-инфраструктуры компании. Достаточно установить на терминальный сервер хорошее антивирусное ПО, и вся сеть будет надёжно защищена от угроз;

  • возможность сэкономить на программном обеспечении. Его не придётся покупать на каждую рабочую станцию — лицензии на ПО понадобятся только для терминального сервера;

  • значительное снижение расходов на электроэнергию. Тонкие клиенты потребляют её гораздо экономнее, чем полноценные персональные компьютеры, благодаря чему суммы в счетах поставщиков энергии уменьшаются.


Мы перечислили достоинства модели, в которой главную роль играет терминальный сервер. Увы, у неё есть и недостатки, о которых нельзя забывать:

  • любой недочёт в конфигурировании и настройке сервера немедленно отразится на всех пользователях. Чтобы исключить такую ситуацию, системные администраторы создают на терминальных серверах изолированную тестовую среду, в которой испытывают обновления, новые драйверы и приложения;

  • большая нагрузка, которую постоянно испытывает сервер терминалов, способна вывести его из строя. Чтобы это не произошло преждевременно, приобретают надёжные серверы известных производителей, в которых реализованы различные системы защиты и резервирования, устанавливают ёмкие и функциональные источники бесперебойного питания.

Консоль mmc (microsoft management console)

В предыдущем пункте мы разобрали пример использования готовой консоли, установленной в любой системе Windows, начиная с версии Windows 2000. В более общем виде Microsoft Management Console (MMC) — это инструмент для создания и сборки управляющих модулей для решения задач управления различными компонентами системы и приложениями, работающими в системе.

Сама по себе консоль MMC — это по сути универсальная оболочка, в которую можно включать специально разработанные модели, называемые оснастками ( snap-in ). Разработка оснасток — задача программистов, а задача администратора — собирать в консоли необходимые наборы готовых и установленных в системе оснасток.

Основной элемент технологии MMC — оснастки. Оснастки бывают двух видов: изолированные и оснастки-расширения ( extensions ). Изолированные оснастки функционируют независимо от других оснасток, оснастки-расширения могут работать только как дочерние объекты других оснасток.

Рассмотрим простой пример создания консоли.

Создадим пустую консоль, добавим в нее оснастки ” Управление компьютеров ” и ” Просмотр событий ” для серверов DC1 и DC2 (в данном примере Администратор зарегистрировался локально на сервере DC1).

  1. Создаем новую консоль — кнопка ” Пуск ” — ” Выполнить ” — ввести mmc — кнопка ” ОК ” (рис. 14.4):
  2. В пустой консоли добавим оснастку ” Управление компьютером ” для локального компьютера — пункт меню ” Консоль ” — ” Добавить или удалить оснастку ” — кнопка ” Добавить ” — выбрать из списка оснасток оснастку ” Управление компьютером ” — кнопка ” Добавить ” — выбрать пункт ” локальным компьютером ” — кнопка ” Готово ” (рис. 14.5рис. 14.6):
  3. Не закрывая панели добавления оснасток, еще раз добавить оснастку ” Управление компьютером “, но при этом выбрать не локальный компьютер, а сервер DC2 (рис. 14.7):
  4. Повторить действия, описанные в п. 2–3, но уже для оснастки ” Просмотр событий “. Нажать кнопки ” Закрыть ” и ” ОК “. В итоге должна получиться консоль, изображенная на рис. 14.8

    Теперь из одной консоли можно управлять сразу двумя контроллерами домена и просматривать журналы событий этих серверов.

    Полученную консоль можно сохранить в виде файла с расширением “. msc ” (меню ” Консоль ” — пункт ” Сохранить как ” — указать путь и имя консоли — кнопка ” Сохранить “). По умолчанию консоли сохраняются в профиле текущего пользователя, в разделе ” Администрирование ” главного меню.

Похожее:  Личный кабинет МТС: регистрация, вход, узнать пароль —

Настройка разрешений для подключения к серверу терминалов

Еще раз в качестве резюме перечислим те параметры, которые надо включить или настроить, чтобы пользователи могли подключаться к серверу терминалов:

Если хотя бы один из этих параметров будет отключен или запрещен для какого-либо пользователя, то этот пользователь не сможет подключиться к службам терминалов данного сервера.

Параметры консоли

При сохранении консоли можно выбрать режим использования данной консоли. Перечислим доступные режимы (меню ” Консоль ” — ” Параметры “):

Разные режимы использования консолей позволяют более опытным специалистом создавать управляющие консоли под конкретные задачи и предоставлять возможность использования консолей менее опытным сотрудникам. При этом обеспечивается тот факт, что менее квалифицированный специалист не внесет исправления в консоль, которые могут лишить возможности ее использования или получения более широкого доступа.

Подключение к сеансам других пользователей

Администратор сервера, запустив в окне своего сеанса работы со службами терминалов консоль ” Диспетчер служб терминалов “, может подключиться к сессии любого другого пользователя, отображаемого в этой консоли. На рис. 14.24 изображен пример открытой консоли в окне сессии администратора.

Подключение к серверу терминалов

Cиcтемы Windows XP/2003 имеют встроенный клиент для подключения к серверу терминалов, называемый ” Подключение к удаленному рабочему столу ” (кнопка ” Пуск ” — ” Программы ” — ” Стандартные ” — ” Связь ” — ” Подключение к удаленному рабочему столу “).

Познакомимся с клиентом ” Подключение к удаленному рабочему столу “.

Если запустить данный клиент из программного меню, то на экране появится окно подключения к серверу терминалов (рис. 14.21):

Если в поле ” Компьютер ” ввести имя компьютера или его IP-адрес и нажать кнопку ” Подключить “, то запустится процесс создания сеанса на сервере терминалов.

Но сначала мы рассмотрим параметры подключения, которые можно менять, нажав кнопку ” Параметры “.

Закладка ” Общие ” (рис. 14.22):

На данной закладке можно ввести имя, пароль и название домена, затем поставить галочку у поля ” Запомнить пароль “, после чего при вызове данного подключения клиент будет автоматически входить в систему на терминал-сервере с указанными параметрами (при условии, что в Свойствах протокола RDP данного сервера не установлен параметр обязательного ввода пароля — ” Требовать пароль только для входа “).

Кнопка ” Сохранить как… ” позволяет сохранить параметры подключения в файле с расширением “. RDP ” в папке ” Мои документы ” и в дальнейшем использовать постоянно данные параметры.

Кнопка ” Открыть ” позволяет открыть сохраненный ранее файл для модификации параметров или запуска подключения к серверу терминалов.

Закладка ” Экран ” служит для установки параметров отображения сеанса на экране монитора (рис. 14.23):

Если установить размер удаленного рабочего стола в значение ” Во весь экран “, то окно терминальной сессии будет перекрывать окна всех других приложения на ПК пользователя (это удобно для пользователей, которые работают только в терминальной сессии), если выбрать меньший размер, то будет более удобно переключаться между окнами приложений (это удобно для пользователей, которые кроме терминальной сессии запускают и другие приложения на своем рабочем месте).

Параметр ” Цветовая палитра ” определяет количество цветов, доступных в окне терминальной сессии (в версиях, более ранних, чем Windows 2003, поддерживалось не более 256 цветов).

Закладка ” Локальные ресурсы ” управляет использованием локальных ресурсов клиентского ПК в терминальной сессии :

Закладка ” Программы ”

На данной закладке можно указать путь к программе (путь нужно указывать к программе, установленной на сервере), которая будет автоматически запускаться при запуске данного подключения (при этом пользователю не будет доступен рабочий стол в терминальной сессии, а завершение программы приведет к завершению сессии).

Закладка ” Дополнительно ” позволяет настроить ряд параметров, которые будут оптимизировать работу клиента в зависимости от скорости коммуникаций между клиентом и сервером. В основном эти параметры касаются отключения или включения различных визуальных эффектов, доступных в системе Windows.

Работа в терминальной сессии

Работа в сессии служб терминалов ничем не отличается от работы в системе Windows на персональном компьютере. Нужно лишь постоянно помнить (особенно это касается пользователей, работающих с сервером терминалов в режиме сервера приложений), что все программы выполняются не на ПК пользователя, а на сервере.

Отсюда могут быть некоторые нюансы. Например, можно легко переносить фрагменты документов через буфер обмена между приложениями, работающим на сервере терминалов, и приложениями, работающими на клиентском ПК. Но, например, скопировать путем перетаскивания мышью файлы из папки, открытой в терминальной сессии, в папку, открытую на клиентском ПК, не удастся.

Похожее:  Как перевести деньги со своего счета другому абоненту, перекинуть деньги с Билайн Тула

Режим удаленного управления сервером

Для установки служб терминалов в Windows 2000 Server необходимо установить данную службу через ” Установку/удаление программ ” — ” Установку компонентов Windows “, выбрать в списке компонент Службы терминалов и указать режим использования — для удаленного управления.

В Windows 2003 службы терминалов уже установлены в системе, необходимо для их использования поставить галочку у параметра ” Дистанционное управление рабочим столом ” на закладке ” Удаленное использование ” в Свойствах компьютера (рис. 14.17):

В режиме удаленного управления к терминальным службам могут подключаться только пользователи, обладающие административными привилегиями (в Windows 2003 — также пользователи, включенные в группу ” Пользователи удаленного рабочего стола “).

Сервер будет сконфигурирован для выполнения не более двух клиентских сеансов управления (при этом не требуются клиентские лицензии). В данном режиме к минимуму сведено снижение производительности сервера, неизбежное при запуске служб терминалов (приложения, которые запускает пользователь в сеансе удаленного рабочего стола на сервере работают с низким приоритетом, более высокие приоритеты распределяются системным службам).

Резюме

В данном разделе описаны две основные технологии управления Windows-системами: консоль управления MMC и протокол удаленного рабочего стола.

Технология MMC позволяет администратору конструировать и собирать произвольные управляющие консоли, ориентированные на определенные задачи управления системой. Консоли собираются из имеющихся в системе оснасток ( snap-in ).

Создание собственных консолей позволяет опытным квалифицированным администраторам подготовить определенные наборы консолей для конкретных задач и передать готовые консоли в использование начинающим администраторам, что может значительно облегчить их работу.

Протокол удаленного рабочего стола ( RDP ) предназначен для подключения к удаленным Windows-системам и работы с ними в режиме имитации локального интерактивного входа в систему для решения различных задач управления этими системами.

Другое назначение удаленного рабочего стола — работа пользователей с прикладными Windows-программами на сервере терминалов. Это позволяет продлить жизнь морально устаревшим компьютерам — на ПК пользователя нужен только “тонкий” клиент удаленного рабочего стола для подключения к терминальному серверу, сами приложения выполняются на сервере, а окно клиентской программы создает у пользователя впечатление работы на своем ПК.

Средства администрирования служб терминалов

Для управления настройками протокола RDP на данном сервере используется консоль ” Настройка служб терминалов “. В этой консоли есть два раздела: ” Подключения ” и ” Параметры сервера “.

Раздел ” Подключения ” (рис. 14.18) предназначен для настройки Свойств протокола RDP на данном сервере (заметим, что большинство параметров можно настроить индивидуально для каждого пользователя в его Свойствах в консоли ” Active Directory – пользователи и компьютеры “;

Закладка ” Общие ” — уровень шифрования при передаче данных между клиентом и сервером:

Закладка ” Параметры входа ”

Можно настроить на автоматический вход с определенной учетной записью, можно предоставить клиенту выбор учетной записи, можно настроить на обязательное требование ввода имени пользователя и пароля (параметр ” Требовать пароль только для входа “).

Закладка ” Сеансы ” — настройка тайм-аутов для бездействующих и отключенных сессий, а также ограничений времени работы активных сессий пользователей.

Закладка ” Среда ” — вместо окна с рабочим столом системы пользователю будет показано окно конкретной программы, при закрытии которой будет автоматически закрываться сессия пользователя на сервере терминалов.

Закладка ” Удаленное управление ” — разрешение на подключение администратора к сессиям пользователей.

Закладка ” Параметры клиента ” — настройка параметров работы клиентского окна служб терминалов (подключение к сессии на сервере локальных дисков и принтеров с ПК пользователя, параметры глубины цвета, управление буфером обмена).

Закладка ” Сетевой адаптер ” — привязка служб терминалов к конкретному сетевому адаптеру (если их несколько), назначение максимального числа подключений к серверу.

Закладка ” Разрешения ” — список пользователей и групп, которым разрешен доступ по протоколу RDP к данному серверу.

Раздел ” Параметры сервера ” (рис. 14.19) служит для настройки некоторых параметров сеансов работы пользователей — возможность создания временных папок в сеансе пользователя, удаление временных папок по окончании сеанса, рабочий стол Active Desktop, ограничение на количество сеансов для пользователя.

Для управления текущими сеансами пользователей на сервере терминалов служит консоль ” Диспетчер служб терминалов ” в разделе ” Администрирование ” (рис. 14.20).

Эта консоль выполняет следующие операции с сеансами пользователей:

Управление свойствами пользователя для работы со службами терминалов

В
“Протокол TCP/IP, служба DNS”
, посвященном службам каталогов, подробно описывались Свойства пользователей в консоли ” Active Directory – пользователи и компьютеры “. Напомним и уточним те свойства, которые описывают параметры для работы со службами терминалов.

Закладка ” Профиль служб терминалов “:

Закладка ” Среда ” — настройка среды пользователя в терминальной сессии:

Закладка ” Сеансы ” — управление сеансом пользователя на сервере терминалов:

Закладка ” Удаленное управление ” — параметры подключения администратора к терминальной сессии пользователя:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 4,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector