标签: windows-terminal-services

我们只是使用远程桌面服务设置全新的 Server 2008 R2。

到目前为止，一切都安装得很好，我们已经为每个用户（不是机器！）设置了 5 个 CAL，它们被激活并运行。

这里的问题/问题是：

是否可以使用同一用户多次登录？ 这在Windows Server 2003

我们只希望它new session在具有相同用户的服务器上启动。

你们中有人有这方面的经验吗？

谢谢！

通常，如果您连接到在 Windows Server 2008 R2 上运行的远程桌面会话主机，系统会提示您输入凭据，如果它们有效，您将直接登录到您的会话。

在我们的一台服务器上，使用 RDP 登录的每个人在远程桌面客户端中输入后都会看到通常的 Windows 登录屏幕（带有用户名/密码的绿色/蓝色背景）。因此，用户不是直接登录的，而是必须输入两次凭据。仅此服务器的情况。服务器也是远程桌面连接代理。

这种行为是由错误的设置引起的还是您知道如何摆脱它？

如果我丢失了终端服务会话并且可以在会话过期之前重新连接，文件会去哪里？它们是迷失在以太中还是 Windows 会将它们保存在某个地方？

不确定这是否重要，但我在 Windows 2003 服务器上处理记事本中的文本文件和 SQL Server Management Studio 中的 .sql 文件。

我们有一家公司在内部为我们进行开发，他们可以访问多个服务帐户。该公司轮换人员，而不是请求帐户，开发人员使用服务帐户登录服务器。

在不影响服务帐户用途的情况下锁定使用该帐户的能力的最佳方法是什么？

我们可以安全地选中 AD 中终端服务配置文件下的“拒绝此用户权限登录到任何终端服务器”复选框吗？

如果我们创建了一个域策略来阻止登录该 OU，那会是一个更好的方法吗？

我有一台安装了终端服务器角色的 Windows 2008 R2 服务器。我发现作为服务器本地打印机操作员组成员的普通用户出现问题。

如果用户使用“以管理员身份运行”打开 cmd 窗口，他们可以运行 printmanager.msc 而无需再次输入密码。在 printmanager 中，他们可以毫无问题地更改重定向（轻松打印）打印机的所有权。

如果在同一个 cmd 窗口中，他们使用 subinacl 尝试将队列的权限更改为自己，则访问被拒绝：

>subinacl.exe /printer "_#MyPrinter (2 redirected)" /setowner="MyDom\MyUsr"
Elapsed Time: 00 00:00:00
Done:        1, Modified        0, Failed        1, Syntax errors        0
Last Done  : _#MyPrinter (2 redirected)
Last Failed: _#MyPrinter (2 redirected) - OpenPrinter Error : 5 Access denied

所以，同样的上下文，同样的动作，但一个有效，一个无效。对这种奇怪的行为有什么想法吗？

我在 x64 服务器上使用 subinacl x86，因为我找不到任何最新的东西。我试过 icacls 和其他人，但无法让他们对打印机做任何事情。

编辑：在 Gregs 对下面的 setacl 发表评论后添加

如果我以 Testusr 身份登录到 TS 服务器并打开 Admin Tools > Printer Admin（以管理员身份），然后输入 mydomain\testusr 和 testusr …

我已经在 Windows 2003 中设置了终端服务。这是域的一部分。该服务器不是 DC。它只有一个角色：终端服务器

当我尝试以域管理员或域管理员组中的任何其他用户的身份通过 RDP 登录它时。它工作正常并允许我工作。

但是，当我尝试与“域用户”组的成员进行 RDP 时

我正进入（状态：

远程桌面连接被拒绝，因为用户帐户无权进行远程登录

我已设置本地策略并允许域用户（允许通过远程桌面服务登录），但未配置通过远程桌面服务拒绝登录。

我还尝试将某些用户添加到内置远程桌面用户组中，但没有运气。

请帮忙！

我们有以下域设置：

• 域功能级别：Server 2008
• 5 Server 2003 终端服务器
• 5 Server 2008 R1 终端服务器
• 150 名员工在他们的 PC 上使用强制配置文件
• 这些员工在 AD 中没有终端服务器配置文件路径，因为我们发现它意味着更快的登录。

我们的问题是，当员工登录 Server 2008 终端服务器时，他们会在 5 分钟多一点后自动注销。

在终端服务器的安全日志中是这个事件：

    User initiated logoff:

Subject:
    Security ID:        contoso\bloggsjoe
    Account Name:       bloggsjoe
    Account Domain:     contoso
    Logon ID:       0x1c66ba

This event is generated when a logoff is initiated but the token reference count is not zero and the logon session cannot be destroyed.  No further user-initiated activity can occur.  This event can be interpreted as …

对于我正在从事的一个项目，我正在寻找在用户启动终端服务会话时为其分配特定 IP 的能力。

我正在使用 Windows Server 2008 R2 SP1，并且尝试使用远程桌面 IP 虚拟化，但据我所知，它只能让我在用户使用或不使用 dhcp 访问时启用向会话分配随机 ip 的功能（更改一些注册表项）。

我需要这个来在项目防火墙上为每个用户设置过滤规则。

编辑

据我了解，有几个 dll 可以处理（在“假 dhcp”模式下，更改注册表项）ip 分配。如果实际上不支持为用户分配静态 IP，是否可以从头开始构建一个库来处理这种情况，如果是的话，当我可以找到一些关于这些库的 MS 文档时（我指的是 TSVIPool.dll 和第二个）可以分配给同一注册表路径下的Control键，我找不到名字）

因此，我在我们的 Server 2003 R2、SE x86 虚拟机之一上遇到了一个奇怪的新问题。

总而言之，自从上个月打补丁以来，我们似乎无法将 RDP 放入盒子中，我们确实需要不时这样做，因为它是我们的 Exchange (2003) 服务器，我们偶尔需要管理我们的邮件环境。尝试通过 RDP 连接会抛出一个2308 error code. 重要的是，非 RDP 远程连接似乎工作正常（PSExec、远程事件查看器等）。

由于它是一个虚拟机，我突然通过 vSphere 控制台查看，发现 TermService 服务已启动，但恢复为 Manual Startup Type，并且处于一种NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN状态。

我更改了启动类型，执行了 atakskill /PID /F并重新启动了服务，但它仍然不接受连接，并且恢复到一种NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN状态（这不是它通常所处的状态），并且不接受连接。终端服务管理器将两个“可用”RDP 会话显示为关闭，如果您尝试重置它们，则会引发错误。

我在网上看到过这是多个网卡的结果，但我们的服务器只有一个 vNIC。

由于这是我们唯一的 Exchange 服务器，因此重新启动它是最后的手段（双重原因是因为我们对任何服务器这样做都会给自己造成繁文缛节），所以有人知道发生了什么吗，希望有一个解决方案不涉及重启？

屏幕下方，以防万一有人需要视觉效果。

服务器 RDP 证书每 6 个月到期并自动重新创建，这意味着我需要在客户端计算机上重新安装新证书以允许用户保存密码。

有没有一种直接的方法来创建一个更长的到期时间的自签名证书？

我有 5 台服务器要配置。

另外，如何安装证书以便终端服务使用它？

注意：服务器不在域中，我很确定我们没有使用网关服务器。