Windows Server 2003是當前使用最普遍的終端服務器平臺，但是在使用過程中會遇到這樣那樣的問題。下面筆者結合自身實踐，列舉三例比較典型的終端服務之痛，和大家探討醫治之道。

　　1、醫治“終端安全登錄”之痛

　　部署終端服務器后，出于安全考慮我們不希望某些用戶進行遠程登錄到終端服務器。Server 2003平臺的終端服務器默認情況下一個用戶可以在兩個客戶端進行遠程登錄。在某些特殊的情況下，我們只希望某個帳戶只能進行一個遠程登錄。以上的兩個應用需求是很多管理員遇到并且比較困惑的。下面筆者分別敘述其實現方法。

　　(1).限制某些用戶登錄終端服務器，這在Server 2003上是非常容易實現的。在通常情況下，我們的終端服務使用的都是遠程桌面模式，客戶端通過遠程桌面登錄到終端服務器。因此我們可以從遠程桌面入手進行用戶登錄的限制，只給一些用戶登錄權限，對應的其他用戶也就沒有權限了。

　　右擊“我的電腦”選擇“屬性”打開“系統屬性”窗口，點擊“遠程”選項卡，在“遠程桌面”下勾選“啟用這臺計算機上的遠程桌面”，開啟遠程桌面。然后點擊“選擇遠程用戶”按鈕，然后點擊“添加”按鈕根據事先指定的策略添加自己授權的可以進行遠程桌面連接的用戶。比如我們授權lw用戶，只需在“輸入對象名稱來選擇”下輸入即可，當然也可以點擊“高級”按鈕，通過“立即查找”功能添加系統中存在的用戶。(圖1)

     

　　默認情況下，administrator用戶擁有登錄權限的，有時我們為了安全防止攻擊者嘗試用其登錄登錄終端服務器。那如何禁止administrator遠程登錄終端服務器呢?最極端的方式是禁用administrator用戶，在命令提示符下輸入命令:net user administrator /active:no即可。還有可以通過組策略為administrator改名(計算機配置→Windows設置→安全設置→本地策略→安全選項→帳戶：重命名系統管理員)。筆者推薦的做法是通過組策略取消administrator登錄終端服務器的權限，其組策略位置是：計算機配置→Windows設置→安全設置→本地策略→用戶權限分配，雙擊“通過終端服務允許登錄”，選擇administrators用戶，點擊刪除，然后添加許可的用戶即可。這樣，當別人惡意嘗試登錄終端服務器的時候會彈出如圖的警告，拒絕登錄。(圖2)

     

　　(2).要實現一個用戶只能進行一次終端登錄，我們可以通過對終端服務器的設置來實現，操作步驟是：點擊“開始”，依次定位到“控制面板→管理工具→終端服務配置”，單擊“服務器設置”在詳細信息窗格中，右鍵單擊“限制每個用戶使用一個會話”，然后單擊“屬性”。勾選“限制每個用戶使用一個會話”復選框，然后單擊“確定”即可。(圖3)

     

　　2、醫治“超出最大允許連接數”之痛

　　通常情況下，企業中有多個管理員，他們都有權限可以登錄到終端服務器。默認情況下，administrator的遠程桌面連接數2個。如果此時正好有兩個管理員遠程桌面連接到終端服務器，那么第三個管理員就不能登陸，會提示“終端服務器超出了最大允許連接數”，無法進行登錄。(圖4)

     

　　另外，某些管理員遠程登錄結束后不是按照常規做法從終端服務器中注銷用戶，而是直接端口連接。這樣的話，雖然遠程用戶已經斷開了與終端服務器的遠程桌面連接，但是session(會話)還停留在服務器端，也會有上面的提示造成無法登錄。

　　對于這一問題就筆者所知有四種解決辦法：

　　(1).本地登錄(控制臺登錄)到終端服務器，遠程登錄的用戶會自動被注銷。如果還有用戶沒有注銷，可以在打開“任務管理器”，點擊“用戶”標簽然后選擇遠程登的用戶點擊右鍵選擇“注銷”即可。(圖5)

      #p#副標題#e#

　　(2).如果終端服務器開啟了telnet服務，我們可以telnet到終端服務器，然后通過命令注銷(踢出)用戶。首先輸入命令“query user”查看當前的登錄，然后選擇相應的用戶通過命令logoff ID來注銷該用戶。其中ID是系統分配給用戶的標識，它是唯一的。比如我們輸入logoff 2，就注銷了ID為2的用戶的遠程登錄，那么其他用戶就可以登錄了。(圖6)

     

　　(3).限制已經斷開連接的session存在的時間，當超過時間后會自動進行注銷，其原理是修改終端服務器配置來實現的。操作步驟是：

　　第一步：點擊“開始”，依次定位到“控制面板→管理工具→終端服務配置”，在“終端服務配置”

　　窗口，點擊左側的“連接”然后雙擊窗格右側的“RDP-Tcp”打開其屬性設置對話框。(圖7)

     

　　第二步：點擊“會話”標簽，勾選“替代用戶設置”激活下面的選項，然后在“結束已斷開的會話”后面的下拉列表中選擇一個時間，比如我們選擇30分鐘。這樣當斷開連接30分鐘內沒有再次連接的話，系統就會技術這個session(會話)。(圖8)

     

　　第三步：點擊“網卡”標簽，修改“最多連接數”，默認是2，大家可以根據自己的需要進行修改。不過，數字不宜過大，否則會占用終端服務器的系統資源。

　　(4).上面的三個方法可以解決問題，但筆者認為最徹底的解決方案是增加終端服務器的連接數，我們通過組策略來實現，操作步驟是：

　　第一步：點擊“開始→運行”，輸入gpedit.msc打開組策略編輯器，依次展開“計算機配置→管理模板→Windows 組件→終端服務”，雙擊右邊的“限制連接數量”，點選“已啟用”，在“TS 允許的最大連接數”后面根據自己的需要輸入一個連接數。

　　第二步：點擊左側的“會話”，然后雙擊右側的“為斷開的會話設置時間限制”，點選“已啟用”，在“結束斷開連接的會話”后的下拉列表中選擇一個時間，比如我們選擇“30分鐘”。(圖9)

     

　　3、醫治“終端服務授權”之痛

　　用windows server 2003做服務器的人都知道其安全性能比以前的windows版本高出很多，但是也帶來很多麻煩，其中終端授權就是一例。在Server 2003中服務器最重要的遠程管理“終端服務”居然要求授權，要許可證，否則120天過期需要購買授權。這是讓管理員們非常郁悶的事情，其實這個問題可以得到很好的解決。我們通過如下的操作即可解除該認證限制。

　　在Server 2003上首先開啟終端服務，然后依次執行“控制面板→添加刪除程序→添加/刪除windows組件”，在“Windows組件向導”窗口的“組件”下取消對“終端服務器”和“終端服務器授權”的勾選，然后點擊“下一步”刪除這兩個系統組件。在刪除完成后，系統會提示會提示我們重新啟動計算機，這時候千萬不要重啟一定要點“否”，否則我們的操作就前功盡棄了。(圖10)

     

　　然后點擊右鍵點擊“我的電腦”選擇“屬性”，依次點擊定位到“遠程→遠程桌面” ，勾選“啟用這臺計算機上的遠程桌面”，之后會得到提示，不用理它點擊“確定”應用即可?，F在，重新啟動計算機大功告成，不用任何第三方破解軟件輕松破解了Windows 2003的終端服務器許可。

　　總結：終端服務在當前的某些行業中仍然發揮著巨大的作用，有著廣泛的用途。其實，何止這些，在企業環境中我們也可以通過終端服務器實現某些特殊的應用。讓我們繼續深入挖掘，使其更好地為我們服務。