微软终端服务部署优化

sun_way

4 Q/ H( S3 J5 H% Y, g上次发过一个文字版的微软终端及Thinprint应用的文字版，一直没上图片，今天补上。
一、修改系统安装盘内容（2003SP2，32位系统，企业版）
用nLite（绿色版下载地址：http://www.xdowns.com/soft/softdown.asp?softid=29283
注意此程序要基于FrameWork2.0.50727.42地址：http://www.microsoft.com/downloads/zh-cn/details.aspx?displaylang=zh-cn&FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5）
, `7 p1 e. ~$ j, q, N对安装盘进行一定的修改，笔者修改时选择了移除组件、选项及优化调整直到完成（优化这一项只是将tcpip.sys默认的10线程改成了1000，未抓图，注意此tcpip.sys版本号为5.2.3790.4573，而非2003SP2默认的版本文件，如果找不到的话，当你将系统安装并升级完补丁后，自然就是5.2.3790.4573了，将该文件复制一份，在cmd下输入makecab tcpip.sys tcpip.sy_，然后替换掉nLite优化系统的I386里的tcpip.sy_，再次将其线程修改为1000并完成后，将此tcpip.sy_复制出来后，在cmd下输入expand tcpip.sy_ tcpip.sys，然后替换掉dllcache目录里的文件，而后再替换drivers目录里的tcpip.sys文件），如图（因为此图为优化后的选项，所以跟你的系统有所不同，可以仿照优化即可，优化的主要目的是去除系统自带的打印机驱动，原因见后面。注意是驱动程序里的打印机驱动而非硬件支持里的打印机，这一点一定要注意，笔者失败了两次，一次为键盘布局、语言，所以未勾选上，另一次为将硬件支持里的打印机给清除，郁闷啊）：

& m" J1 K% |/ ]5 z" q修改过后如下图：
. ^+ D7 a" }$ z5 n3 K( J0 ]
! f( u' `5 [# d. ^$ ]5 U5 g优化后的安装文件夹如下图：
5 N. p- I9 W  C/ r
+ ]* W6 {. u" {5 V0 K2 P2 X) ?直接将I386复制到硬盘里，通过PE安装系统，两个分区就够了，一定要是NTFS分区。系统安装略（注意笔者习惯将每服务器允许连接数默认的5个联接改为9999）。系统安装完成后（不进系统），用PE光盘进系统，用工具PASSWDRENEW.EXE（软件界面如下图）
/ `7 E/ b1 X% v( Z! x: L( h
新建一个管理员帐号（避免系统直接用administrator来登录，笔者试过32/64位的2003都能更改）。
( N3 x4 b" H" m- U) \+ r) V3 \二、系统组件增删，应用程序安装及部分优化
% [0 T) E# K' s$ G% [( Y用新建的管理员帐户登录系统，将administrator改成一个怪怪的用户，并设一个难猜的密码，安装硬件驱动（略）。
因应用需要，将系统里的IE安全组件删除，添加了终端服务组件，如图

7 Z' q' R4 |7 |% R完成后，重启系统，并激活终端服务器（控制面板-管理工具-终端受权，这一部分略），修改终端默认的3389端口号。注册表位置共两个，分别如下：
+ n. S2 W: K: L+ U  QHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，将右边窗口里的PortNumber改成其他端口，最好是1024以后的，如图，

修改时注意将基数改成十进制。另一处为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp右边窗口的PortNumber，修改完后要重启系统才能生效。
) W- w" P) T% N! I1 @安装欲发布的应用程序，输入法（相当烦微软拼音输入法，从注册表里搜索“微软拼音，找到一处删一处直至删完，有些是删除项而非值）等。用注册表清理工具（米老鼠注册表清理工具，勾选取如图）
2 I5 I# }- L' G5 y
扫描完成后，注意要留下“英语美国”这一项，不然添加输入法要出错，如图：
! y: p0 P" N7 }
安装ThinPrint程序，笔者安装的是TPASE的7.6版本并重启系统（该安装包坛子里有下载，自己找找），如图：
' W9 u8 I7 }) M; e
7 t% F" q3 S* F3 b1 W' H/ a注意不安装VC Gateway（本文是RDP应用），并激活（KEY不要找我），设置时注意将.print Engine设置为如下图中的Virtual Channel Protocol （ICA or RDP）
5 B' O9 P% b% q$ X' p# W
AutoConnect也设置为Virtual Channel Protocol （ICA or RDP），如图：
6 A; J2 V+ O( }1 Y( Y
三、添加系统用户
' e4 U; y! A% S5 o' y. f添加用户将所有用户目录（即All users目录权限设为Remote Desktop Users拒绝读取，如图：这样新建用户所有程序就为空（其实是没 有访问权限）
3 D+ W$ x( p, |0 y4 s
将用户组里的Remote Desktop Users改个名字，便于添加用户，如RDUser，如图

写个批处理命令，命令如下：
" x' \$ e; ]# ?; o' W% ?0 Tnet user test testuser /add
8 ]) m: U0 U( @# Qnet localgroup RDUsers test /add
2 E3 w$ L/ Q) N% o  ?6 N7 T& A解释一下：第一行表示添加用户名test密码为testuser用户
第二行表示将test用户添加到RDUsers组（即前面改的远程登录用户），当然也可以用右键添加用户并添加到相应的组里，但这个较慢。添加用户完成后，运行mstsc，计算机里输入127.0.0.1:端口，登录到本机，调整好设置如图，用得着的程序都添加快捷方式到桌面，感觉好象某些网管软件就有此功能（所有程序为空）：

然后退出test用户，用管理员复制Default User文件以备用，将test用户目录的内容替换掉Default User目录里的文件，并将test用户目录里的桌面/收藏夹/我的文档这三个文件夹设为test拒绝写入（注意不是拒绝读取）。
/ r) p+ D2 O+ Z# w. \1 D再次建议多个用户（用户名一定不要相同），并添加到远程用户组里（如果前面用批处理已经添加用户，此跳过添加多个用户），设置同test用户（主要是文件夹的写入拒绝，不然用户登录里会习惯将文件写在终端服务器的硬盘里）。
- V/ @/ D: s1 C$ U8 q3 v" o四、组策略设置系统安全（可以用Advacned Security Administrator来取代，该软件可以限制某用户权限，据说哪怕是管理员级别的，但笔者未安装测试）
% w, ?- q/ K6 `用管理员将组策略里“计算机配置-终端服务-会话”右边窗口下图中的三项启用，如图：

参数分别为10分钟，从不，1小时，主要目的是节约服务器资源，怕有用户接入后又不操作，却占着系统资源，所以有必要的话可以将1小时设短一点。
添加自动删除临时文件批处理，在启用里输入清理临时文件的批处理路径，用户登录时会自动运行该程序从而删除缓存等无用的文件。如图：

; m2 J' j* H+ M+ N在“通用打开文件夹对话框”将右边全部启用，如图：

此目的为保存/另存文件里对话框变得象Win98，找不到网上邻居之类的如图：

5 o2 W/ @) t+ s8 k- J; i6 V' |而不是下图，以保证网络安全
) o0 c6 L" L0 A" i; M# Y9 `2 T' m; ]
1 L1 H, U* \* A9 Y& [; F启用下列设置，如下图（注意隐藏驱动器及防止访问驱动器都为全部驱动器，如果自己要访问，可以是命令行访问，也可以是禁用后再访问，在cmd里输入gpedit.msc便可打开组策略）
8 g, P6 D6 j9 y  Y1 C6 w
( o# T( a; p) Q" b& f
7 N: A& ]9 e: z5 e4 D0 i0 ~
3 ]% E  {. z/ H0 J) l2 Z, N禁用注册表（在用户配置-管理模板-系统），禁用运行（在用户配置-管理模板-任务栏和开始菜单，以防止用户在地址栏里输入\\IP或C:\进行访问），禁止修改IE安全设置，以免客户端用户更改IE设置（如图）。

五、客户端程序安装
5 ?2 f" D4 X! e! B# n+ E. l客户端（可以是瘦客户端）安装好ThinPrint的打印客户端程序（如果终端服务器系统带有系统自带的打印驱动，而客户端的打印机又刚好在服务端有驱动的话比如LQ1600K，将会在服务器上自动安装相应的打印驱动，所以笔者要将系统自带打印驱动删除而用TP来取代，原因是TP占用带宽小很多），用mstsc登录到服务器就能访问远程终端服务器所提供的应用程序，不过建议用Multidesk这个（目前）绿色免费软件（地址：http://www.hoowi.com/multidesk/index_chs.htm，设置很简单，图略）来取代，且建议将mstsc升级到6.0以后才能是映射分区，用5.x的mstsc联接（Multidesk不支持5.x的mstsc分区映射）映射为整个客户端硬盘而非分区；映射的分区最好是定期将文件移走，以减少从服务端导数据到客户端时超时之类的事情发生。Multidesk还有一个好处就是连到终端服务器的桌面自动适应Multidesk程序窗口大小，如图：
( }7 i, Y, t/ a4 f
: c5 `! D  {9 F' ?/ _) W后面待续，找人补上或明天再传。不好意思。

linghu435

不错，很详细，但现在很少用2003了，现在公司用windows server 2008 R2，数据库也是
$ _$ w6 [" V$ I  Q- ySQL SERVER 2008 R2，两者非常匹配，安全性也很高，就是 64位打印机驱动不好找，还有终端服务找不到合适的破解

wints

windows 2008 /2008 R2已经成为主流

神秘人

不同的客户机，登陆时只映射自己的打印机
在citirx5.0如何设置？？
1 R& p% K6 A+ K; u1 A! {* v不让他们互相都能看到每个人很多的打印机。只让各自看到各自的。
( a1 ]% Z! ?, l, c' w

zzg123

很不错谢谢分享:):):):):):):):):):):):):):):):):):):):):):):)

sun_way

不好意思，耽搁了几天。补上后面部门：
, v6 H: e( B! [" fMultidesk还有一个好处就是连到终端服务器的桌面自动适应Multidesk程序窗口大小，如图：

六、备份系统，略。如果说两个分区，D盘保存操作系统安装程序、应用程序，系统备份，将该分区设为拒绝远程桌面用户读取，那么可以只启用隐藏驱动器及防止访问驱动器都为驱动器驱动器C就行了。

笔者系统常规属性（终端抓的图，所以色彩不鲜）如下图：

5 U/ D8 X- A* S3 x7 d! {带十多个用户，CPU及内存占用、进程数如下图
  i6 j9 `+ ?! I+ f$ g0 d

多几台这样的计算机，做成终端服务器组（非群集），每一台端口号不同，告诉用户访问对应的端口号，这样就只占用一个公网IP（映射在防火墙上），并用防火墙将这些服务器单独划成一个组，与其他服务器隔开，从而来保证其他服务器如SQL/Web/Mail等的安全。

sun_way

神秘人 发表于 2011-3-4 19:51
不同的客户机，登陆时只映射自己的打印机
在citirx5.0如何设置？？
不让他们互相都能看到每个人很多的打印 ...

这个倒没有注意到。不过就默认终端来说，只要不是管理员级别的，好象只能看到自己映射的打印，不能看到别人计算机的打印哦。

netszone

好东西！！！V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!V5!

sun_way

2008R2安装TPASE V7.6X64成功了。先上一张图。
; s% V# V) r3 C+ ?( F
# f( Z! q8 R" q) a( E