RDS 安全群組原則設定控制是否允許本機管理員自訂權限。
Horizon 7 RDS 群組原則設定安裝於 資料夾中。
設定 | 說明 |
---|---|
Server Authentication Certificate Template | 使用此原則設定可指定憑證範本的名稱,以決定應自動選取哪個憑證來驗證 RDS 主機。 在 RDP 連線期間使用 SSL (TLS 1.0) 保護用戶端與 RDS 主機之間的通訊安全時,必須要有憑證才能驗證 RDS 主機。 如果啟用此原則設定,則必須指定憑證範本名稱。自動選取用來驗證 RDS 主機的憑證時,將只會考量使用指定憑證範本所建立的憑證。只有在未選取特定憑證時,才會執行自動憑證選取。 如果找不到以指定憑證範本建立的憑證,RDS 主機將會發出憑證註冊要求,且在此要求完成前將會使用目前的憑證。如果找到多個以指定憑證範本建立的憑證,則會選取最近即將到期、且符合目前 RDS 主機名稱的憑證。 如果停用或未設定此原則設定,依預設會使用自我簽署憑證來驗證 RDS 主機。您可以在 [遠端桌面工作階段主機設定] 工具的 [一般] 索引標籤上,選取要用來驗證 RDS 主機的特定憑證。
備註: 如果您選取了特定憑證用來驗證 RDS 主機,則該憑證的優先順序將高於此原則設定。
|
Set client connection encryption level | 指定在遠端桌面通訊協定 (RDP) 連線期間,是否要求使用特定加密層級來保護用戶端與 RDS 主機之間的通訊安全。 如果啟用此設定,則在遠端連線期間,用戶端與 RDS 主機之間的所有通訊都必須使用此設定中指定的加密方法。依預設,加密層級會設為 [高]。可用的加密方法如下:
如果停用或未設定此設定,則不會透過群組原則強制執行要對 RDS 主機之遠端連線使用的加密層級。但您可以使用 [遠端桌面工作階段主機設定] 工具,設定這些連線的必要加密層級。
重要: FIPS 相容可透過
資料夾中的「系統加密編譯: 使用 FIPS 相容演算法於加密,雜湊,以及簽章」原則設定來設定,或透過 [遠端桌面工作階段主機設定] 中的「FIPS 相容」設定來設定。[FIPS 相容] 設定會透過美國聯邦資訊處理標準 (FIPS) 140-1 加密演算法,使用 Microsoft 密碼編譯模組來加密及解密從用戶端傳送至伺服器和從伺服器傳送至用戶端的資料。當用戶端與 RDS 主機之間的通訊需要最高層級的加密時,請使用此加密層級。如果已透過群組原則「系統加密編譯: 使用 FIPS 相容演算法於加密,雜湊,以及簽章」啟用 FIPS 相容,該設定將會覆寫在此群組原則設定中或 [遠端桌面工作階段主機設定] 工具中指定的加密層級。
|
Always prompt for password upon connection | 指定遠端桌面服務在連線時是否一律會提示用戶端提供密碼。 您可以使用這個設定,對登入遠端桌面服務的使用者強制執行密碼提示,即使他們已經在遠端桌面連線用戶端中提供過密碼。 依預設,遠端桌面服務允許使用者在遠端桌面連線用戶端中輸入密碼即可自動登入。 如果啟用此設定,使用者將無法在遠端桌面連線用戶端中提供其密碼而自動登入遠端桌面服務。他們會看見提供登入密碼的提示。 如果停用此設定,則使用者一律可在遠端桌面連線用戶端中提供其密碼以自動登入遠端桌面服務。 若未設定此設定,則不會在群組原則層級上指定自動登入。但管理員仍然可以使用 [遠端桌面工作階段主機設定] 工具強制執行密碼提示。 |
Require secure RPC communication | 指定 RDS 主機是否要求在所有用戶端使用安全 RPC 通訊,或允許不安全的通訊。 您可以使用此設定,藉由僅允許經過驗證和加密的要求,強化用戶端的 RPC 通訊安全性。 如果啟用此設定,遠端桌面服務會接受支援安全要求之 RPC 用戶端的要求,且不允許與未受信任的用戶端進行不安全的通訊。 如果停用此設定,則遠端桌面服務一律會要求所有 RPC 流量的安全性。不過,未回應要求的 RPC 用戶端仍可進行不安全的通訊。 若未設定此設定,則會允許不安全的通訊。
備註: RPC 介面可用來管理及設定遠端桌面服務。
|
Require use of specific security layer for remote (RDP) connections | 指定在遠端桌面通訊協定 (RDP) 連線期間,是否要求使用特定安全性階層來保護用戶端與 RDS 主機之間的通訊安全。 如果啟用此設定,則在遠端連線期間,用戶端與 RDS 主機之間的所有通訊都必須使用此設定中指定的安全性方法。可用的安全性方法如下:
如果停用或未設定此設定,則不會透過群組原則強制執行要對 RDS 主機的遠端連線使用的安全性方法。但您可以使用 [遠端桌面工作階段主機設定] 工具,設定這些連線的必要安全性方法。 |
Require user authentication for remote connections by using Network | 使用此原則設定,可指定是否要使用「網路層級驗證」要求 RDS 主機的遠端連線進行使用者驗證。這個原則設定要求使用者驗證在遠端連線處理程序初期執行,以增強安全性。 如果啟用此原則設定,將只有支援網路層級驗證的用戶端電腦可連線至 RDS 主機。 若要判斷用戶端電腦是否支援網路層級驗證,請在用戶端電腦上啟動 [遠端桌面連線],按一下 [遠端桌面連線] 對話方塊左上角的圖示,然後按一下 [關於]。在 [關於遠端桌面連線] 對話方塊中,尋找是否出現「支援網路層級驗證」。 如果停用或未設定此原則設定,則在允許遠端連線至 RDS 主機之前,無需使用網路層級驗證進行使用者驗證。 您可以使用 [遠端桌面工作階段主機設定] 工具,或是 [系統內容] 中的 [遠端] 索引標籤,指定必須使用網路層級驗證進行使用者驗證。
重要: 停用或未設定這個原則設定將提供較低的安全性,因為使用者驗證將在遠端連線程序後期執行。
|
Do not allow local administrators to customize permissions | 指定是否停用管理員在「遠端桌面工作階段主機設定」工具中自訂安全性權限的權限。 您可以使用這個設定,防止管理員在「遠端桌面工作階段主機設定」工具中的 [權限] 索引標籤上對使用者群組進行變更。依預設,管理員有權進行此類變更。 若狀態設定為 [已啟用],則無法使用「遠端桌面工作階段主機設定」工具中的 [權限] 索引標籤來自訂每個連線的安全性說明元,也不能變更現有群組的預設安全性說明元。所有安全性說明元皆為「唯讀」。 若狀態設定為 [已停用] 或 [未設定],則伺服器管理員具有在「遠端桌面工作階段主機設定」工具中的 [權限] 索引標籤上完整讀取/寫入使用者安全性說明元的權限。
備註: 管理使用者存取的慣用方法,是將使用者新增至遠端桌面平台使用者群組。
|