远程访问Server2003的权限管理及设置

一，设置目的：需要建立一个用于远程登录的服务器云平台，在服务器上新建一个虚拟机，并且在虚拟机上安装Server2003服务器版操作系统，并且设置好虚拟机操作系统，用于我们远程可以访问该操作系统。接下来，我们需要新建几个用户A,B,C。A作为系统管理员，B,C分别作为远程登录用户。B,C可以通过远程登录访问某个应用软件,他们都有自己的在系统中的文件夹及管理权限。A的权限最高，可以给B,C分配权限，管理B,C等远程登录的用户。

二，首先要下载VMware Workstation并安装，然后用光盘或者系统镜像，在虚拟机中安装Server2003操作系统。如下图所示：

三，装好VMware Workstation之后，需要在其上安装Server2003服务器，如下图：(这里就不在赘述安装步骤了，下面的网址有：http://jingyan.baidu.com/article/7e440953f076522fc0e2efe7.html，注意，磁盘拆分格式一般是NTFS的，因为，我们以后的权限管理中要用到它，右击属性中会包括“安全”选项卡。)

四，接下来，我们就需要配置虚拟机，用来多用户可以同时远程登录。

vmware提供了三种工作模式：bridged(桥接模式)，nat(网络地址转换模式)以及host-only(主机模式)

简单的介绍一下三种工作模式的功能作用：

1.　bridged(桥接模式)(虚拟机远程登录就用桥接模式，VMware虚拟机中的“编辑—虚拟网络编辑器—选择桥接模式”和“虚拟机—设置—网络适配器—桥接模式”即可，然后在把虚拟机系统中的IP改成和宿主在一个段中的IP，其他设置同宿主一样,注意，如果ping不通，且不能远程登录，可能是你的虚拟机的IP和其他主机的IP冲突了,可以尝试换一个IP试试)

　　在这种模式下，VMWare虚拟出来的操作系统就像是局域网中的一台独立主机，它可以访问网内任何一台机器。在桥接模式下，你需要手工为虚拟系统配置IP地址、子网掩码，而且还要和宿主机器处于同一网段，这样虚拟系统才能和宿主机器进行通信。同时，由于这个虚拟系统是局域网中的一个独立的主机系统，那么就可以手工配置它的TCP/IP配置信息，以实现通过局域网的网关或路由器访问互联网。使用桥接模式的虚拟系统和宿主机器的关系，就像连接在同一个Hub上的两台电脑。想让它们相互通讯，你就需要为虚拟系统配置IP地址和子网掩码，否则就无法通信。

 　　如果你想利用VMWare在局域网内新建一个虚拟服务器，为局域网用户提供网络服务，就应该选择桥接模式。

 2.　NAT(网络地址转换模式)(对于广域网而言)

　　使用NAT模式，就是让虚拟系统借助NAT(网络地址转换)功能，通过宿主机器所在的网络来访问公网。也就是说，使用NAT模式可以实现在虚拟系统里访问互联网。NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提供的，无法进行手工修改，因此虚拟系统也就无法和本局域网中的其他真实主机进行通讯。采用NAT模式最大的优势是虚拟系统接入互联网非常简单，你不需要进行任何其他的配置，只需要宿主机器能访问互联网即可。

 　　如果你想利用VMWare安装一个新的虚拟系统，在虚拟系统中不用进行任何手工配置就能直接访问互联网，建议你采用NAT模式。

 3.　host-only(主机模式)

　　在某些特殊的网络调试环境中，要求将真实环境和虚拟环境隔离开，这时你就可采用host-only模式。在host-only模式中，所有的虚拟系统是可以相互通信的，但虚拟系统和真实的网络是被隔离开的。

 　　提示:在host-only模式下，虚拟系统和宿主机器系统是可以相互通信的，相当于这两台机器通过双绞线互连。

 　　在host-only模式下，虚拟系统的TCP/IP配置信息(如IP地址、网关地址、DNS服务器等)，都是由VMnet1(host-only)虚拟网络的DHCP服务器来动态分配的。

 　　如果你想利用VMWare创建一个与网内其他机器相隔离的虚拟系统，进行某些特殊的网络调试工作，可以选择host-only模式。

而我们只需要用第一种方式桥接模式来实现本功能：具体操作如下图所示：

1、  进入虚拟机设置，

 

2、  在虚拟机窗口的Edit菜单有virtual Network Editor…设置网络连接方式

 

VMnet0 就是桥接方式，对应设置好。VMnet8是NAT方式连，不用管！

 

3.设置Server2003系统的IP与宿主机的IP在同一个网段，尽量找到没有被占用的另外一个IP，其他的都跟宿主机的设置一样，DNS,子网掩码都一样。都设置好后，我们可以试着ping一下，都可以ping通的。

五，我们需要设置在Server2003中不同用户的权限了。

1.新建不同的用户，如下图所示：

我的电脑右键---管理----本地用户和组----用户右键---新用户

可以查看具体用户的权限属性：如下图所示：

用户右键属性出现如下的属性框：

上图已经设置好了“隶属于”属性了，如果没有设置好的话，我们点击：添加---高级---立即查找 如下图：

选择我们需要的组，如果是管理员的话，点击Administrators,如果是远程登录的话，点击Remote Desktop Users....

还可以更改回话时间的权限，如下：

还需要设置一下内容：

终端服务配置(Tscc.msc)的使用

使用终端服务配置可以更改本地计算机上该连接的属性、添加新连接或设置服务器。打开“控制面板”—〉“管理工具”，单击“终端服务器配置”启动终端服务配置窗口。

1 单击左边窗口的“连接”项，右边窗口即出现可选的RDP-TCP连接，右击“RDP-TCP”，选“属性”出现RDP-Tcp属性对话框(如图1)，主要配置有：

(1)连接数设置：可在“网卡”选项中更改。设置更多地连接数可使更多的用户同时登录服务器。默认最多同时两个用户连接，如果想要使3个以上的用户同时使用远程桌面功能，则必须安装终端服务，安装后就可以任意设定用户数制。

安装终端服务可通过Windows的“添加/删除程序”—〉“添加/删除Windows组件”中，选中“终端服务器”来添加。

由于每个用户连接远程桌面后最小占用12MB左右的内存，因此可根据服务器内存大小来设定用户数，一般用户数不要太多，以免影响性能。如256MB内存可设定用户数8个左右，512MB内存可设定20~30个。

(2)调整颜色分辨率(颜色深度)：在“客户端设置”项中。限制颜色深度可以增强连接性能，尤其是对于慢速链接，并且还可以减轻服务器负载。“远程桌面”连接的当前默认最大颜色深度设置为 16 位。

选中“颜色深度最大值”，可修改限定的最大颜色深度为8、15、16或24位。若不选中，则使用登录的客户端颜色设置。

(3)让客户自动登录：在“登录设置”选项卡上。这对普通应用非常方便，可加快登录速度，提高服务效率。

要使用自动登录，需选中“总是使用下列登录信息”，在“用户名”中，键入允许自动登录到服务器的用户的名称，在“密码”和“确认密码”中，键入该用户的密码。 这样客户端连接时将不用再输入用户名和密码，而自动进入Windows 2003桌面(注意：若此后再有用户登录，那么原来的连接将被断开)。若输入不完整，则登录时还会要求输入用户名或密码。

如要想更安全的使用服务器，则应选中“总是提示密码”以指定该用户在登录到服务器之前始终要被提示输入密码，从而限制客户端的自动登录。

(4)对连接自动限制管理：单击“会话”项来设定。主要用来设定超时的限制，以便释放会话所占用的资源，“结束已断开的会话”和“空闲会话限制”的时间，一般应用设为5分钟较好。对安全性要求高的也可设定“活动会话限制”的时间。“达到会话限制或者连接被中断时”下的选项，最好选“结束会话”，这样连接所占的资源就会被释放。

(5)设置加密级别：单击“常规”项，可指定在终端服务会话期间，对于客户端与远程计算机之间发送的所有数据是否强制加密级别。分四个级别：符合 FIPS(最高级别的加密)、高(加密数据经过强 128 位加密。)、客户端兼容(加密数据经过客户端支持的最大密钥强度加密)和低(从服务器发送到客户端的数据将不会被加密)。

(6)启用终端客户音频：在“客户端设置”项下边，默认为禁用，以节约服务器资源。当用户少时 ，单击“音频映射”去掉被禁用的选项，使终端客户能使用多媒体设备。当然，客户端计算机也必须装有声卡。

如果有多个用户连接到相同的服务器，则会以同一个用户名登录。

(7)启用驱动器映射；此项可方便终端与服务器磁盘间文件的相互传送。启用后本地驱动器将作为网络驱动器显示在终端中。

同样还有打印机、剪贴板、com端口等也可设置映射。但每设置一个都要占用一定的系统资源；所以，一般用户最好禁用。

(8)服务器的安全设置：在“权限”项，可选择组或用户，限制其对终端的配置权限。另外，由于只有Administrators 和 Remote Desktop Users 组的成员可以使用终端服务连接与远程计算机连接，所以可对不同用户分组管理，对于要求安全性高的，可利用NTFS分区设置不同用户的权限。

2.单击左边窗口的“服务器设置”；在右边窗口可实现以下设置：

(1)允许多用户以同一个用户名登录：可双击“限制每个用户使用一个会话”，选“是”为限制一个用户登录，去掉其中的选项(即选“否”)允许多用户同时自动登录，可使多个用户以相同用户名连接到相同的服务器，使得一般的多用户应用非常方便。

(2)设置多用户使用相同的临时文件夹：可修改“进行每个会话时使用临时文件夹”，选“是”使用不同临时文件夹，选“否”为相同，同样可设置退出时是否删除临时文件夹。

以上设置也可使用组策略配置：打开“组策略”，在“计算机配置”—〉“管理模板”—〉“Windows 组件”—〉“终端服务”中可进行配置，配置项目与“终端服务配置”基本相同，但有更详尽的说明(如图2)。

使用组策略的更多设置如：是否允许永久连接、强制删除远程桌面壁纸、客户端/服务器的更多重定向、会话目录设置、是否允许用户使用与原始客户端计算机不同的计算机重新连接已断开的终端服务会话等。

客户端的连接配置

在客户机上设置，仅对本机有效。打开远程桌面连接的“选项”可看到更详尽的客户端登录配置信息。(如图3)

(1)设置自动登录：单击“常规”输入计算机名、用户名、密码；单击“连接”即可自动登录。但当服务端设置使用自动登录或指定使用密码登录时，则客户端的此项设置无效。

(2)设置桌面大小和颜色：单击“显示”即可调整连接后桌面的大小和颜色，其设置值不会超过本机的有效值，若本机系统颜色为16位色，则登陆远程桌面后的颜色不会高于16位色。同样，其颜色也不会超过服务器端限定的颜色数。

(3)设置声音和磁盘及打印机映射：单击“本地资源”，可选择是否播放远程计算机的声音；是否把本机磁盘及打印机连接到终端上。同样当这些选项在服务端被禁用时，客户端的设置也无效。

(4)另外还可通过“高级”和“程序”项来调整连接性能及连接后运行的程序。

终端服务管理器应用

用终端服务管理器管理和监视网络中运行终端服务的任何服务器上的用户、会话及进程。单击“管理工具”，单击“终端服务器管理器”打开管理窗口(如图4)。

从中我们可以看到显示有关服务器、会话、用户和进程的信息，可以连接和断开会话、监视会话、复位会话、向用户发送消息、注销用户、终止进程。

Windows 2003远程桌面配置和使用简单，维护方便，对于一般的办公和教学场合，远程桌面完全可作为一个可供多人使用的终端服务器来使用，通过实践，一台新的配有256MB内存的普通个人计算机，可轻松带动3~5台旧的计算机；若加大内存则可带动的用户计算机更多

 

六.配置告一段落，我们需要给具体用户分配具体的权限了：

假如对F盘进行权限操作设置：右击F盘---属性----安全(只用NTFS格式的才能设置，FAT格式的没有安全选项)

我们可以对上面的不同用户，和组设置对应的下面的权限 包括，允许和拒绝权限

也可以设置特别的权限，点击高级---

如果在权限中没有我想设置的用户，我可以点击添加---高级---立即查找 来选择我的用户。

如果有我们要设置的用户 选中该用户----编辑  如下：

我们可以设置 “应用到”中的选项：只有该文件夹，该文件夹和子文件夹及文件.....

注意，上面的灰色部分复选框，“将这些权限只应用到这个容器中的对象和/或容器上”。

上面的权限中有很多，包括读取权限，修改权限，读取属性等权限都可以自己试一试。

我们也可以对里面具体的某个文件夹执行以上的操作，具体的操作跟上面一样。

如果对于某些文件夹，我们把权限搞乱了，最后连管理员都没有办法使用他了，我们可以如下图的操作：

我们可以选中一个用户，然后点击下面的红圈部分的“替换子容器及对象的所有者”复选框，改为选中状态，就可以了。

如果我们不想继承父项的权限，我们可以如下操作：

把下面的“允许父项的继承权限传播到该对象和所有子对象。包括哪些在此明确定义的项目”复选框的对勾去掉即可。

好了，本篇博文就写到这了，这是我的第一篇技术文档，希望大家多多提出宝贵的意见，我会及时的改进，谢谢大家的支持。