До речі, перед тим як починати роботу, переконайтеся в тому, що у вас є ліцензії CAL (Terminal Services Client Access License - клієнтська ліцензія служб терміналів) - в іншому випадку після успішного розгортання ніхто не зможе встановити підключення. Тепер підключіть комп'ютер, на якому виконуються служби терміналів, до домену Active Directory® і увійдіть в систему з використанням облікового запису, що має привілеї адміністратора домену. Буде складно продовжувати розгортання, не маючи доступу до домену, оскільки у вас не буде можливості привести в дію групові політики. У цій статті сервер, на якому встановлюються служби терміналів, буде називатися TS01.
Потім запустіть оснащення «Active Directory - користувачі і комп'ютери» з набору засобів адміністрування і створіть новий підрозділ (OU), в якому буде розміщений сервер терміналів. Для простоти дамо цьому OU привабливе оригінальністю ім'я Terminal Servers (Сервери терміналів). Пошукайте сервер терміналів з ім'ям TS01 і перемістіть його в новий підрозділ Terminal Servers.
З вікна «Адміністрування» запустіть консоль GPMC і знайдіть новий підрозділ Terminal Servers в лівій частині вікна «Управління груповою політикою». Клацніть цей підрозділ правою кнопкою миші, виберіть «Створити і зв'язати GPO», як показано на рис. 1, і дайте йому практичне ім'я, наприклад Terminal Server Policy # 1.
Мал. 1 Створення і зв'язування нового об'єкта групової політики (GPO) (Клацніть зображення, щоб збільшити його)
Чарівним чином група «Минулі перевірку» відображається в області «Фільтри безпеки» в правій частині вікна GPMC. Ця група за замовчуванням додається в усі об'єкти групової політики (GPO). Клацніть цю групу, потім натисніть кнопку «Видалити». Замість неї в дереві Active Directory потрібно налаштувати групу «Служби терміналів», до якої будуть застосовуватися об'єкти GPO при реєстрації користувачів на TS01. Дамо групі служб терміналів ім'я BottleWashers. Продовжуйте роботу і додайте їх в структуру Active Directory за допомогою оснастки «Active Directory - користувачі і комп'ютери» з коштів адміністрування. Групу BottleWashers знадобиться додати також до групи користувачів віддаленого робочого стола на TS01 і на будь-яких інших встановлюваних серверах терміналів.
Тепер перейдіть на вкладку «Область». Натисніть кнопку «Додати» в зоні «Фільтри безпеки», потім додайте групу BottleWashers. Група BottleWashers автоматично отримує права на читання і застосування групової політики до об'єкта Terminal Server Policy # 1. Ці два дозволи є правами групової політики за замовчуванням і є необхідними для всіх політик, що застосовуються до об'єкта.
Потім додайте також в зону «Фільтри безпеки» сервер TS01. Для виконання цієї операції потрібно ще один додатковий етап. Спочатку клацніть «Додати», потім, під заголовком «Типи об'єктів», встановіть прапорець на вкладці «Комп'ютери»; в іншому випадку GPMC не зможе відшукати TS01 в Active Directory. Остаточний результат повинен виглядати, як на рис. 2.
Мал. 2 Додавання TS01 в зону «Фільтри безпеки»
Права коректної політики точно так само автоматично застосовуються до TS01 при його додаванні в зону «Фільтри безпеки». У цей момент має сенс вибрати вкладку «Делегування» вгорі правого боку екрану GPMC, а потім знайти групу "Адміністратори домену", список якої за замовчуванням також виводиться для кожної нової політики. Натисніть кнопку «Додатково» в правому нижньому кутку екрану.
По суті, схема ліцензування для кожного користувача дозволяє користувачеві застосовувати тільки одну ліцензію сервера терміналів незалежно від числа пристроїв (ПК), з яких користувач здійснює підключення.
Якщо в домені ще немає сервера з ліцензією сервера терміналів, знайдіть в домені сервер, який може прийняти на себе цю роль. Хоча така можливість підтримується, не варто робити TS01 сервером ліцензування, тому що, якщо згодом на підприємстві будуть з'являтися додаткові сервери терміналів, стійкість інфраструктури до збоїв не збільшуватиметься. На сервері, який передбачається зробити сервером ліцензування, відкрийте панель управління. Послідовно виберіть «Установка і видалення програм» | «Компоненти Windows» | «Ліцензування сервера терміналів» і виконайте з'являються на екрані вказівки для включення сервера ліцензування. По завершенні процедури виберіть «Пуск» | «Виконати» і введіть:
Цією командою відкривається дерево «Налаштування сервера терміналів» \ «Параметри сервера». У цьому дереві слід вибрати «Параметри сервера» | «Ліцензування» і вибрати «Для користувача» або «На пристрій». Варіант за замовчуванням - «На пристрій». Якщо в домені уже є сервер з ліцензією сервера терміналів, в об'єкті Terminal Server Policy # 1 буде присутній параметр, який вказує на те, що сервера призначена роль сервера ліцензій. Виконавши це завдання, виберіть «Пуск» | «Виконати» і введіть:
Вкрай важливо пам'ятати, що не слід безсистемно включати політики, не знаючи в точності, що робить кожна з них, інакше можна отримати незаплановані результати. Оптимальний підхід полягає в запуску кількох важливих політик і їх подальшому масштабному тестуванні в лабораторному середовищі.
Першою, можливо, варто привести в дію політику замикання на себе. Для її активації запустіть GPMC, знайдіть об'єкт Terminal Server Policy # 1, клацніть його правою кнопкою миші та виберіть «Змінити». Перейдіть до вузла «Конфігурація комп'ютера» | «Адміністративні шаблони» | «Система» | «Групова політика» і включіть параметр «Режим обробки замикання користувальницької групової політики». Після включення цієї політики слід встановити значення для її параметра «Режим»: «Заміна» або «Злиття». Для оптимальної роботи служб терміналів виберіть «Заміна».
Наступним слід включити параметр сервера терміналів «Додавати групу адміністраторів для переміщуваних профілів користувача», який знаходиться у вузлі «Конфігурація комп'ютера» \ «Адміністративні шаблони» \ «Система» \ «Профілі користувачів». Цей параметр забезпечує адміністратору повний і постійний контроль над усіма папками профілів користувачів. Його слід встановити якомога раніше, оскільки він не застосовується, якщо папки вже були створені після першого входу користувача в систему (див. Рис. 3).
У вузлі «Конфігурація комп'ютера» \ «Адміністративні шаблони» \ «Компоненти Windows» \ «Служби терміналів» представлено цілий ряд політик. Розгляньте можливість включення прямують з них:
• «Обмежити користувачів служби терміналів одним віддаленим сеансом»
• «Встановити шлях для переміщуваних профілів TS»
• «Домашній каталог користувача сервера терміналів»
Відзначимо, однак, що обмеження користувачів служб терміналів одним віддаленим сеансом не перешкоджає багаторазового входу користувача в систему, як можна було б припустити. Насправді, коли користувач намагається запустити другий сеанс служби терміналів, він просто продовжує перший розпочатий сеанс.
Переміщувані профілі є важливим елементом належної роботи сервера терміналів. За замовчуванням при вході користувача на сервер терміналів створюється локальний профіль на диску C: сервера терміналів навіть в тому випадку, якщо диск C: прихований від користувачів. За замовчуванням поведінку щодо переміщуваного профілю полягає в синхронізації локального профілю із загальним ресурсом переміщуваних профілів в мережі при виході користувача з системи. Групову політику можна налаштувати на видалення цього локального профілю при виході користувача з системи.
Наступні дві політики служб терміналів, згадані вище, «Встановити шлях для переміщуваних профілів TS» і «Домашній каталог користувача сервера терміналів», пов'язані з переміщуваними профілями. Ці параметри часто жорстко встановлюються в поле «Шлях профілю служб терміналів» користувача Active Directory. Набагато більш простим і кращим способом є установка шляхів для служб терміналів за допомогою групових політик. У разі шляхів профілю служб терміналів оснащення «Active Directory - користувачі і комп'ютери», якщо налаштовується новий або копіюється існуючий користувач, відомості про шляхи профілю сервера TS необхідно додавати кожен раз вручну - це вкрай обтяжливо. Набагато зручніше встановлювати шляху до спільного мережного ресурсу і для їх налаштування використовувати об'єкт GPO.
Гідність компонента «Перенаправлення папок» полягає в тому, що не потрібно копіювати весь профіль користувача при кожному вході або виході користувача з системи. Служби терміналів виявляють присутність цих папок в мережі і, по суті, просто забезпечують покажчик на них.
Параметри для компонента «Перенаправлення папок» знаходяться в вузлі «Конфігурація користувача» \ «Конфігурація Windows» \ «Перенаправлення папок» (див. Рис. 4). Значення параметрів папки «Перенаправлення папок» вкрай природні. Ймовірно, буде потрібно зняти всі прапорці для компонента перенаправлення папок з іменами типу «Надати права монопольного доступу», в іншому випадку адміністратори не зможуть отримати доступ до цих папок.
Мал. 4 Місцезнаходження параметрів компонента «Перенаправлення папок»
Установка Microsoft Office
Розпакувавши перший файл, ORKSP2AT.exe, ви отримаєте набір файлів. Для вас важливі файли office11.adm і outlk11.adm (див. Рис. 5).
Мал. 5 Файли шаблонів Office
Запустіть провідник Windows і скопіюйте ці два файли в% systemroot% \ inf. Потім знову запустіть консоль GPMC. Серед об'єктів групової політики знайдіть об'єкт Terminal Server Profile # 1, клацніть його правою кнопкою миші і виберіть пункт «Змінити». Тепер перейдемо до вузла «Конфігурація комп'ютера» \ «Адміністративні шаблони» у зазначеній політиці. Клацніть «Адміністративні шаблони» правою кнопкою миші і виберіть пункт «Додати або видалити шаблони», як показано на рис. 6.
Мал. 6 Додавання адміністративних шаблонів в об'єкт GPO
У цій статті я не стану обговорювати багато параметрів, розглянемо тільки ті два, які, ймовірно, буде потрібно видалити: «Помічник» і «автоархівації Outlook». Зверніть увагу, що деякі параметри, наприклад «Режим кешування Exchange» і «Фільтрація небажаних повідомлень», за замовчуванням відключені в службах терміналів, тому немає необхідності відключати ці політики.
Підготуємо PRF-файл для Outlook за допомогою майстра вибіркової установки. Насправді не буде потрібно виконувати всю процедуру майстра вибіркової установки, досить виконати ту її частину, яка необхідна для експорту зміненого PRF-файлу. У неї входить лише кілька операцій.
Тепер перейдемо безпосередньо до 17-ї з 24 сторінок майстра вибіркової установки, щоб пропустити частину операцій вибіркової установки і просто створити PRF-файл. На етапі 17 виберіть пункт «Новий профіль» і призначте йому ім'я, наприклад Outlook, потім натисніть кнопку «Далі». Відображається екран для вибору сервера Exchange (як показано на рис. 7). Введіть ім'я сервера Exchange і клацніть «Далі» для продовження процедури.
Мал. 7 Налагодження підключення до сервера Exchange
На цьому етапі необхідно створити пакетний файл і помістити його в загальний ресурс Netlogon на контролері домену, а не на сервері TS01. Цей пакетний файл запустить всі необхідні зіставлення і налаштує PRF-файл для розгортання. Виконання даного завдання полегшують написання мною сценарії WMI. Однак ці сценарії слід використовувати тільки в якості керівництва; в них потрібно вставити дані, відповідні конкретній ситуації. При бажанні можна використовувати інший обробник сценаріїв, подібний KiXTart.
У пакетному файлі (logon.bat) повинні бути присутніми наступні рядки:
REM Logon.bat
@echo off
wscript% 0 \ .. \ clean.vbs
wscript% 0 \ .. \ outlook.vbs
Файл Clean.vbs забезпечує видалення розділу реєстру First-Run, щоб Outlook виконав обробку PRF-файлу:
'Clean.vbs
Const HKEY_CURRENT_USER = # 038; H80000001
sComputer = "."
Set oRegistry = GetObject ( "winmgmts:" # 038; _
sComputer # 038; "\ Root \ default: StdRegProv")
sKeyPath = "Software \ Microsoft \ Office \ 11.0 \
Outlook \ Setup "
sValueName = "First-Run"
oRegistry.DeleteValue HKEY_CURRENT_USER, sKeyPath, _
sValueName
Outlook.vbs додає до реєстру необхідний розділ установки Outlook для кожного користувача сервера терміналів. У параметрі SValue = необхідно вказати використовуваний шлях і не забути додати діючий налаштований PRF-файл в реальний мережевий каталог:
Змініть цей шлях і помістіть в нього файл Outlook.prf:
'Outlook.vbs
Const HKEY_CURRENT_USER = # 038; H80000001
sComputer = "."
Set oRegistry = GetObject ( "winmgmts:" # 038; _
sComputer # 038; "\ Root \ default: StdRegProv")
sKeyPath = "Software \ Microsoft \ Office \ 11.0 \ Outlook \
Setup "
oRegistry.CreateKey HKEY_CURRENT_USER, sKeyPath
sValue = "\\ Serv01 \ PRF \ Outlook.prf"
sValueName = "ImportPRF"
oRegistry.SetStringValue HKEY_CURRENT_USER, _
sKeyPath, sValueName, sValue
Перед установкою будь-якої з версій Microsoft Office слід перевести сервер TS01 в відповідний призначений для користувача режим. Існують два можливих варіанти: «Установка» і «Виконання». Перед тим як почати виконання установки будь-якого програмного забезпечення, необхідно перейти в режим «Установка». Для перекладу сервера TS01 в режим установки введіть у командному рядку наступну команду:
C:> change user / install
По завершенні установки поверніть TS01 в режим виконання за допомогою наступної команди:
C:> change user / execute
C:> change user / query
Якщо ви дісталися до цього етапу, значить, все в порядку. Тепер можна перейти на клієнтську робочу станцію Windows, клацнути «Пуск» | «Виконати», потім ввести наступну команду:
Якщо на сервері TS01 потрібно виконати деякі адміністративні завдання, оптимальним варіантом буде використання такої команди, оскільки вона імітує таке ж виконання операцій, як якщо б ви фізично перебували за консоллю:
Mstsc / console
При виконанні адміністрування різних служб терміналів може знадобитися службова програма для віддалених робочих столів, що знаходиться в наборі засобів адміністрування, оскільки всі віддалені сервери терміналів можуть бути додані в єдиний деревовидний формат.
Тепер у вас є цілісне уявлення про службах терміналів, тому самостійне розгортання сервера терміналів не складе труднощів. Залишилося ще багато тем для подальшого вивчення, включаючи параметри групової політики і DFS, але якщо ви будете пам'ятати про базові принципи, таких як стриманість при налаштуванні об'єктів GPO і грунтовна перевірка цих об'єктів перед їх використанням в реальній роботі з користувачами, то справи підуть добре.