為遠(yuǎn)程管理配置服務(wù)器

為了實現(xiàn)遠(yuǎn)程管理功能，需要在中心服務(wù)器配置一臺服務(wù)器（或虛擬機(jī)），在虛擬機(jī)中安裝Windows Server 2008 R2、配置 RemoteApp并發(fā) 布“Active Directory用戶和計算機(jī)”供用戶使用。為了說明問題，我們以圖1所示拓?fù)錇槔?，介紹Windows Server 2008 R2遠(yuǎn)程桌面服務(wù)、發(fā)布服務(wù)器上的RemoteApp應(yīng)用程序并讓W(xué)indows XP、Windows 7用戶使用的內(nèi)容。其中，SER2是新配的服務(wù)器，SER1域控制器已經(jīng)配置好，是系統(tǒng)中原有的Active Directory服務(wù)器。

說明：在當(dāng)前示例中，服務(wù)器IP地址段為172.30.5.0，如果你也參考本應(yīng)用，請用你單位實際的IP地址代替。

在SER2安裝遠(yuǎn)程桌面服務(wù)

準(zhǔn)備一臺服務(wù)器，安裝Windows Server 2008 R2，并加入到域控制器。首先介紹在Windows Server 2008 R2中安裝“遠(yuǎn)程桌面服務(wù)”的內(nèi)容。

1.在Windows Server 2008 R2中，修改計算機(jī)的名稱為WS08RDWEB，設(shè)置IP地址為172.30.5.27，并設(shè)置網(wǎng)關(guān)及DNS，之后加入到域。重新啟動計算機(jī)上，以域管理員賬戶登錄，打開“服務(wù)器管理器”，右擊“角色”，選擇“添加角色”。

2.在“選擇服務(wù)器角色”對話框，單擊并添加“遠(yuǎn)程桌面服務(wù)”。在“選擇角色服務(wù)”對話框，添加“遠(yuǎn)程桌面連接代理”之外的所有角色（如圖2）。

3.在“指定遠(yuǎn)程桌面會話主機(jī)的身份驗證方法”對話框，選擇“不需要使用網(wǎng)絡(luò)級別身份驗證”，這樣運(yùn)行Windows XP等操作系統(tǒng)的用戶也可以訪問Windows Server 2008 R2服務(wù)器提供的遠(yuǎn)程桌面服務(wù)。

圖1 實驗拓?fù)?/p>

圖2 選擇角色服務(wù)

圖3 服務(wù)器身份驗證證書

4.在“指定授權(quán)模式”對話框，單擊“每用戶”單選框。選擇“每用戶”授權(quán)模式可以滿足當(dāng)下大多數(shù)系統(tǒng)的需求。

5.在“選擇允許訪問此RD會話主機(jī)服務(wù)器的用戶組”，添加到本地“Remote Desktop Users”組的用戶，添加到該組的用戶可以訪問此RD會話主機(jī)服務(wù)器組。如果要允許所有用戶，可以添加“Everyone”或者添加“Users”。

6.在“配置客戶端體驗”對話框，配置是否在RD會話主機(jī)服務(wù)器上安裝“桌面體驗”功能。為了減輕服務(wù)器的負(fù)擔(dān)，可以不需要選擇這些功能。

7.在“選擇SSL加密的服務(wù)器身份驗證證書”對話框，單擊“為SSL加密創(chuàng)建自簽名證書”（如圖3）。創(chuàng)建自簽名的證書主要用于實驗或小規(guī)模的部署，如果在生產(chǎn)環(huán)境中，需要在網(wǎng)絡(luò)中自建證書服務(wù)器并申請證書。

8.在“為RD網(wǎng)關(guān)創(chuàng)建授權(quán)策略”對話框，選擇“現(xiàn)在”，在“選擇可以通過RD網(wǎng)關(guān)連接的用戶組”對話框，添加“Domain Users”組，這樣，所有的合法用戶都可以通過。

9.在“為RD網(wǎng)關(guān)創(chuàng)建RD CAP”對話框，創(chuàng)建一個RD CAP允許用戶連接，在此選擇默認(rèn)值即可。

10.在“為RD網(wǎng)關(guān)創(chuàng)建RD RAP”對話框，創(chuàng)建一個RD RAP以指定用戶通過RD網(wǎng)關(guān)服務(wù)器可連接的網(wǎng)絡(luò)資源，在此選擇“允許用戶連接到網(wǎng)絡(luò)上的任何計算機(jī)”。

11.在“網(wǎng)絡(luò)策略和訪問服務(wù)”對話框，顯示“網(wǎng)絡(luò)策略和訪問服務(wù)簡介”。RD遠(yuǎn)程桌面服務(wù)需要網(wǎng)絡(luò)策略服務(wù)器。

12.在“選擇角色服務(wù)”對話框，顯示要安裝的網(wǎng)絡(luò)策略和訪問服務(wù)的角色服務(wù)（如圖4），只安裝“網(wǎng)絡(luò)策略服務(wù)器”即可。

13.遠(yuǎn)程桌面網(wǎng)關(guān)及遠(yuǎn)程桌面Web訪問需要IIS的支持，所以需要安裝Web服務(wù)器。在“選擇角色服務(wù)”對話框，顯示了要安裝的IIS的角色，單擊“下一步”按鈕繼續(xù)。

14.在“確認(rèn)安裝選擇”對話框，顯示了將要安裝的各種服務(wù)及角色，。檢查無誤之后，單擊“安裝”按鈕。之后開始安裝，在“安裝結(jié)果”對話框，顯示了安裝的結(jié)果，并提示需要重新啟動。

15.經(jīng)過兩次重新啟動后，遠(yuǎn)程桌面服務(wù)安裝完成。

遠(yuǎn)程桌面授權(quán)

在安裝完“遠(yuǎn)程桌面服務(wù)”之后，打開“管理工具→遠(yuǎn)程桌面服務(wù)”程序組，可以看到每個配置程序（如圖5）。

圖4 角色服務(wù)

圖5 遠(yuǎn)程桌面服務(wù)程序組

圖6 激活完成

在這里可以選擇相應(yīng)的程序進(jìn)行配置。首先介紹“遠(yuǎn)程桌面授權(quán)”服務(wù)。

1.激活授權(quán)服務(wù)器

（1）打開“RD授權(quán)管理器”后，右擊服務(wù)器名稱，在彈出的快捷菜單中選擇“激活服務(wù)器”。RD授權(quán)服務(wù)必須激活才能使用。

（2）在“連接方法”對話框，選擇最合適的方法進(jìn)行激活。如果當(dāng)前服務(wù)器能連接Internet，選擇“自動連接（推薦）”是最好的選擇。如果當(dāng)前服務(wù)器不能連接Internet或者不能連接Microsoft的激活服務(wù)器，可以采用電話激活的方式。

（3）在“公司信息”對話框，選擇“國家”或地區(qū)，并輸入公司及個人信息，這里每一項都是必需的。

（4）之后的“公司信息”則是可選信息，可以根據(jù)情況選擇是否輸入。

（5）之后開始連接Internet并自動激活（如圖6）。激活授權(quán)服務(wù)器是免費(fèi)的。

2. 安裝許可證

在激活授權(quán)服務(wù)器之后，還需要安裝許可證。在Windows Server 2008 R2中的許可證包括“每用戶”、“每設(shè)備”許可證兩種，對于大多數(shù)情況下，“每用戶”許可證可以滿足要求。安裝許可證需要從Microsoft購買License，并且購買的許可證只能在一臺服務(wù)器上激活。

（1）可以右擊服務(wù)器，選擇“安裝許可證”進(jìn)入向?qū)?。在“許可證計劃”對話框中，選擇合適的許可證計劃，通常情況下，通過零售購買的許可證只能激活一次，并且每個許可證有數(shù)量的限制。

（2）在“許可證代碼”對話框中，輸入零售購買的許可證。如果有多個許可證，可以多次添加，最后許可證的數(shù)量是可以累加的。

（3）之后開始安裝許可證，直到安裝完成。

（4）安裝許可證之后如圖7所示，顯示了許可證的數(shù)量及限制。

遠(yuǎn)程桌面會話主機(jī)配置

在激活授權(quán)服務(wù)器并安裝許可證之后，需要在“遠(yuǎn)程桌面會話主機(jī)配置”中，添加授權(quán)服務(wù)器，步驟如下。

1.在“遠(yuǎn)程桌面服務(wù)”組中執(zhí)行“遠(yuǎn)程桌面會話主機(jī)配置”程序，在“授權(quán)”選項組中雙擊“遠(yuǎn)程桌面授權(quán)服務(wù)器”，當(dāng)前顯示為“未指定”。

2.在“屬性”對話框中，在“授權(quán)”選項卡中，單擊“添加”按鈕，在“添加許可證服務(wù)器”對話框中，添加己知的許可證服務(wù)器，本示例為WS08RDWEB。之后，單擊“確定”按鈕，完成授權(quán)服務(wù)器的添加。

圖7 許可證數(shù)量

圖8 Active Directory管理中心

圖9 添加RemoteApp程序

在RD會話主機(jī)安裝遠(yuǎn)程服務(wù)器管理工具

接下來在RD會話主機(jī)安裝應(yīng)用程序，在主機(jī)上安裝的應(yīng)用程序可以發(fā)布為RemoteApp應(yīng)用程序供用戶使用。在此安裝“遠(yuǎn)程服務(wù)器管理工具”。

1.打開“服務(wù)器管理器”，右擊“功能”，選擇“添加功能”，在“選擇功能”中，依次展開“遠(yuǎn)程服務(wù)器管理工具→角色管理工具→AD DS和AD LDS工 具”，添 加“Active Directory管理中心”（如圖 8）。

2.在“確認(rèn)安裝選擇”對話框，單擊“安裝”按鈕。之后根據(jù)提示完成安裝。

3.安 裝“Active Directory管理中心”之后，在“管理工具”中才有“Active Directory用戶和計算機(jī)”管理工具。

RemoteApp應(yīng)用程序

在RD會話主機(jī)安裝了應(yīng)用程序之后，就可以將安裝的應(yīng)用程序發(fā)布出來，主要步驟如下。

1.在“管理工具 →遠(yuǎn)程桌面服務(wù)”中打開“RemoteApp管理器”，在右側(cè)的“操作”列表中單擊“添加RemoteApp程序”（如圖9）。

2.在“RemoteApp向 導(dǎo)→選擇要添加到RemoteApp程序列表的程序”中，在“名稱”列表中，會顯示當(dāng)前安裝在主機(jī)上的應(yīng)用程序，可以在此選擇。

3.對于列表中沒有而又確實安裝在當(dāng)前主機(jī)的程序，例如“Active Directory用戶和計算機(jī)”，可以點(diǎn)擊“瀏覽”按鈕，在彈出的“選擇程序”對話框中，在“文件名”中輸入：

%System Root%system32dsa.msc

然后單擊“打開”按鈕。添加之后如圖10所示。

4.在“復(fù)查設(shè)置”對話框，單擊“完成”按鈕，完成添加。

將發(fā)布的RemoteApp程序創(chuàng)建成RDP文件

在Windows Server 2008 R2中，還可以將RemoteApp應(yīng)用程序發(fā)布成RDP文件，或為其創(chuàng)建Windows Installer程序包，這兩種方式都可以簡化用戶使用RemoteApp程序的方式。但在Windows Server 2012中已經(jīng)取消了這兩個功能。

首先介紹將RemoteApp應(yīng)用程序創(chuàng)建RDP文件并為創(chuàng)建的RDP文件創(chuàng)建網(wǎng)站、并允許用戶瀏覽下載的方法與步驟。

1.在“RemoteApp管 理器”中，在“RemoteApp程序”中選擇要創(chuàng)建成RDP文件的程序，在“其他分發(fā)選項”選項組中單擊“創(chuàng)建.rdp文件”鏈接。

圖10 瀏覽添加程序

圖11 委派控制

2.在“指定程序包設(shè)置”對話框中，在“輸入要保存程序包的位置”處，瀏覽選擇保存rdp程序包的位置，通常為其設(shè)置一個新的、空白文件夾，例如c: dweb。

3.在“復(fù)查設(shè)置”對話框，單擊“完成”按鈕。

4.之后打開發(fā)布的程序包位置，顯示創(chuàng)建完成的rdp文件，將這些文件包通過FTP、Web、電子郵件發(fā)給用戶，用戶雙擊就可以訪問對應(yīng)的RemoteApp應(yīng)用程序。

在域控制器上委派域用戶

在域控制器上為每個地市“委派”權(quán)限，為每個地市指定一到多域管理員，指定的用戶具有在自己所屬區(qū)域（組織單位，OU）具有創(chuàng)建用戶、修改域用戶密碼的權(quán)限。

1.右擊指定的組織單位，以“信息中心”為例，如圖11所示。右擊，在彈出的快捷菜單中選擇“委派控制”。

2.在“歡迎使用委派向?qū)А睂υ捒騿螕簟跋乱徊健卑粹o，在“用戶或組”對話框中，添加用于委派的域用戶，通常是指定的部門管理人員賬戶。

3.在“要委派的任務(wù)”對話框，選擇要委派的任務(wù)，在本示例中選擇“創(chuàng)建、刪除和管理用戶賬戶”和“重置用戶密碼并強(qiáng)制在下次登錄時更改密碼”。

4.在“完成控制委派向?qū)А睂υ捒蛑?，單擊“完成”按鈕。

經(jīng)過上述設(shè)置，中心節(jié)點(diǎn)服務(wù)器端配置完成，各地區(qū)管理員就可以使用發(fā)布的RemoteApp應(yīng)用程序管理自己地區(qū)的域賬戶。下面介紹各地區(qū)管理員使用篇，分別以Windows XP及Windows 7為例進(jìn)行介紹。