近日给一家上市企业提供IT基础架构优化的项目服务,在部署完活动目录后,客户提出为了减轻IT管理员的管理负担,希望能够通过组策略开启所有客户机的远程桌面,然后管理员可以在自己的工作站连接过去进行远程维护(补充一下,他们有三百多台客户机....)。
我新建了一个测试用的OU,然后将一台测试用的虚拟机加入到域,并将这个计算机账号移动到这个OU里,然后再创建一个名字叫做“RDP”的组策略,链接到这个OU上。
接下来开始修改“RDP”组策略里的设置。先打开“管理工具”的“默认域策略”,依次展开“计算机配置”-->“管理模板”-->“Windows组件”-->“终端服务”,找到“允许用户使用终端服务进行远程连接”项,选择“已启用”。由于这个策略属于计算机配置,因此至少要等待90分钟(正负30分钟)后才能够在所有客户机上应用。为了尽快体现设置效果,我在虚拟机上运行了“gpupdate /force”命令来立即刷新所有组策略设置。可以看到“系统属性”里的“远程”选项里“远程桌面”已经被选中,但我从其他计算机却无法使用“远程桌面连接”来连到这台测试用客户机,明明开启了“远程桌面”功能,为什么无法连过来,一定是有其他东东阻止对这台客户机的远程桌面连接。
由于这是一台测试用机器,既然在这台机器上会有这个现象,其他计算机也一定会有,这表明这是一个普遍现象。由于客户端都是XP+SP2,能阻止连接的只有是XP自带的防火墙,检查防火墙设置,发现都开启了防火墙功能,在“例外”里发现没有选中“远程桌面”,这就是问题所在。
但这又产生一个新问题,就是虽然知道是XP防火墙阻挡了连接,那如何批量修改几百台计算机的这个设置呢?还是想到了组策略这个工具。再次打开这个“RDP”组策略,依次展开“计算机配置”-->“管理模板”-->“网络”-->“网络连接”-->“Windows防火墙”-->“域配置文件”,找到“允许远程桌面例外”,选择“已启用”,同时在输入框里输入“*”(星号,表明允许来自任何IP地址的连接)。
设置完毕后再次在测试用虚拟机上运行“gpupdate /force”命令,再从别的计算机上尝试对这台测试客户机进行远程桌面连接,操作成功。
我发表这个案例的目的并不是想说这个案例里所用到的技术有多高深,而是希望通过这个案例让大家意识到组策略的强大功能,利用好组策略,将能够极大减轻IT Pro们的工作量...
我新建了一个测试用的OU,然后将一台测试用的虚拟机加入到域,并将这个计算机账号移动到这个OU里,然后再创建一个名字叫做“RDP”的组策略,链接到这个OU上。
接下来开始修改“RDP”组策略里的设置。先打开“管理工具”的“默认域策略”,依次展开“计算机配置”-->“管理模板”-->“Windows组件”-->“终端服务”,找到“允许用户使用终端服务进行远程连接”项,选择“已启用”。由于这个策略属于计算机配置,因此至少要等待90分钟(正负30分钟)后才能够在所有客户机上应用。为了尽快体现设置效果,我在虚拟机上运行了“gpupdate /force”命令来立即刷新所有组策略设置。可以看到“系统属性”里的“远程”选项里“远程桌面”已经被选中,但我从其他计算机却无法使用“远程桌面连接”来连到这台测试用客户机,明明开启了“远程桌面”功能,为什么无法连过来,一定是有其他东东阻止对这台客户机的远程桌面连接。
由于这是一台测试用机器,既然在这台机器上会有这个现象,其他计算机也一定会有,这表明这是一个普遍现象。由于客户端都是XP+SP2,能阻止连接的只有是XP自带的防火墙,检查防火墙设置,发现都开启了防火墙功能,在“例外”里发现没有选中“远程桌面”,这就是问题所在。
但这又产生一个新问题,就是虽然知道是XP防火墙阻挡了连接,那如何批量修改几百台计算机的这个设置呢?还是想到了组策略这个工具。再次打开这个“RDP”组策略,依次展开“计算机配置”-->“管理模板”-->“网络”-->“网络连接”-->“Windows防火墙”-->“域配置文件”,找到“允许远程桌面例外”,选择“已启用”,同时在输入框里输入“*”(星号,表明允许来自任何IP地址的连接)。
设置完毕后再次在测试用虚拟机上运行“gpupdate /force”命令,再从别的计算机上尝试对这台测试客户机进行远程桌面连接,操作成功。
我发表这个案例的目的并不是想说这个案例里所用到的技术有多高深,而是希望通过这个案例让大家意识到组策略的强大功能,利用好组策略,将能够极大减轻IT Pro们的工作量...
