文档首页/ 云桌面 Workspace/ 云应用用户指南/ 管理员操作指南/ 常见问题/ 如何配置RDS服务授权及安全策略?
更新时间:2024-03-12 GMT+08:00

如何配置RDS服务授权及安全策略?

操作场景

该任务指导管理员在AD域服务器上通过设置组策略方式完成RDS授权和安全策略的配置。

将虚拟机添加到应用组后,APS服务器已部署就绪,此时还需在AD域服务器上配置APS服务器的RDS服务授权功能,以确保用户访问APS服务器发布的应用时已获得RD Licensing服务器的RDS服务授权许可。否则,在120天的试用期结束后,客户端将无法使用远程应用。

在通过APS服务器发布应用之前,还需通过配置APS服务器的安全策略方式进行安全加固,以确保授权用户可以安全的访问或使用系统提供的应用,避免对其他用户带来影响。

前提条件

  • 已使用域管理员帐号登录AD域服务器。
  • 已获取待配置的RDS服务授权项和安全策略项。

数据

执行该任务前需准备的数据如表1所示。

表1 准备的数据

参数

说明

取值样例

名称

用于标识云应用场景下创建的APS服务器OU的名称。

SBCOU

组策略名称

用于唯一标识云应用场景下APS服务器的组策略,由数字、字母、下划线组成,长度范围为1~30个字符。

SBCGRP

要使用的许可证服务器IP

向APS服务器提供RDS服务授权功能的服务器,即RD Licensing服务器。

192.168.1.60

操作步骤

创建APS服务器OU

在云应用场景下,需通过组策略方式对APS服务器进行授权控制和安全设置,此时需针对APS服务器单独创建OU。

  1. 在主AD域服务器中,选择“ > 管理工具 > Active Directory 用户和计算机”。

    本节内容以Windows Server 2016版本的AD域服务器为例说明配置过程。

    弹出“Active Directory 用户和计算机”窗口。

  2. 在左侧导航树中,右键单击“域名”,选择“新建 > 组织单位”。

    弹出“新建对象 — 组织单位”对话框。

  3. 输入需要创建的云应用的OU名称,例如“SBCOU”,单击“确定”。
  4. 将APS服务器移动到刚创建的OU中。

创建APS服务器组策略

  1. 在主AD域服务器中,单击

    弹出“Windows PowerShell”对话框。

  2. 输入“gpmc.msc”,打开“组策略管理”窗口。
  3. 选中云应用的OU,单击右键,选择“在这个域中创建GPO并在此处链接”。
  4. 在弹出的对话框中输入组策略名称,如“SBCGRP”。
  5. 单击“确定”。

配置APS服务器的RDS服务授权

  1. 选中新建的APS服务器组策略名称,单击右键,选择“编辑”。

    弹出“组策略管理编辑器”界面。

  2. 在左侧导航树中,依次展开“计算机配置 > 策略 > 管理模板 > Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 授权”。
  3. 在右侧“授权”区域框中选中“使用指定的远程桌面许可证服务器”并单击右键,选择“编辑”。

    弹出“使用指定的远程桌面许可证服务器”对话框。

  4. 按照图1所示设置相关参数,单击“确定”。

    图1 使用指定的远程桌面许可证服务器

  5. 在右侧“授权”区域框中选中“设置远程桌面授权模式”并单击右键,选择“编辑”。

    弹出“设置远程桌面授权模式”对话框。

  6. 按照图2所示设置相关参数,单击“确定”。

    图2 设置远程桌面授权模式

(可选)配置APS服务器的安全策略

用户有安全性要求时,必须配置安全策略。

针对APS服务器,用户可选择两种安全策略,具体操作和适用场景如表2所示。

表2 安全策略

安全策略

主要操作

适用场景

普通办公模式

  • 可用管理员发放的所有应用。
  • 可用“控制面板”以及系统设置操作。
  • 可用“任务管理器”。
  • 可用Internet控制面板。
  • 可用powershell.exe和cacls.exe。
  • 禁用Windows更新,注册表编辑,命令行,“运行”。
  • 禁用“关机”、“重新启动”、“睡眠”、“休眠”操作。

安全性要求不高,需要通过云应用的优势来提高办公效率的场景。

安全隔离模式

  • 仅可使用指定的Windows应用程序。
  • 禁用大部分系统设置操作。

安全性要求较高,需要严格控制程序及会话权限的场景。

  1. 选中新建的组策略名称,单击右键,选择“编辑”。

    弹出“组策略管理编辑器”界面。

  2. 针对普通办公模式和安全隔离模式,请按照安全策略中的相关介绍,设置APS服务器的安全策略。

    安全策略详情请参考提交工单,填写工单信息,获取技术支持。

  3. 以配置“用户配置”下的“禁止访问“控制面板””策略为例介绍具体的配置过程,其他策略可参照此过程设置:

    1. 在“本地组策略管理编辑器”的左侧导航中,依次展开“用户配置> 策略 > 管理模板 > 控制面板”。
    2. 在右侧“控制面板”区域框中选中“禁止访问“控制面板””并单击右键,选择“编辑”。
    3. 选择“已启用”,单击“确定”。

设置APS服务器域账号不使用组策略

  1. 在“组策略管理”窗口左侧导航树中,选择“林:用户域名称 > 域 > 域名 > APS服务器OU > 组策略”。

    此处选择的组策略已在创建APS服务器组策略中完成,如“SBCGRP”。

    弹出“组策略管理控制台”对话框。

  2. 单击“确定”。

    窗口右侧显示APS服务器组策略界面。

  3. 选择“委派”页签,单击“添加”。

    弹出“选择用户、计算机或组”对话框。

    默认所有用户应用该策略,需要设置APS服务器域帐号不应用该策略,便于管理员维护APS服务器。

  4. 输入APS服务器域帐号,单击“检查名称”。

    显示查询到的域帐号。

  5. 单击“确定”。

    弹出“添加组和用户”对话框。

  6. 设置组或用户的权限为“读取”,单击“确定”。

    返回APS服务器组策略界面。

  7. 单击“高级”。

    弹出“组策略名称 安全设置”对话框。

  8. 选中APS服务器域帐号,在“应用组策略”行选择“拒绝”,如图3所示。

    图3 配置APS服务器域帐号不应用该策略

  9. 单击“应用”。

    弹出“Windows 安全”。

  10. 单击“是”。
  11. 单击“确定”。

刷新策略

  1. 单击

    弹出“Windows PowerShell”对话框。

  2. 在“Windows PowerShell”对话框中,执行以下命令,刷新策略。

    gpupdate /force

  3. 按“Enter”。任务结束。

    回显如下信息,表示策略刷新成功。

    正在更新策略... 
    用户策略更新成功完成。
    计算机策略更新成功完成。
    • 其他组件服务器会同步此新策略,具体同步时间由同步机制确定。
    • 重启组件服务器会立即同步新策略。