如何在 Windows Server 2003 中启用和配置用于管理的远程桌面

Windows Server 2003 终端服务包括下面两个组件：用于管理的远程桌面通过用于管理的远程桌面，管理员可以从任意终端服务客户端远程管理基于 Microsoft Windows 2000 的服务器和基于 Windows Server 2003 的服务器。为了进行演示和协作，两个管理员可以共享一个会话。此外，管理员还可以使用 -console 命令远程连接到实际的服务器控制台。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：278845 如何使用 Windows Server 2003 终端服务连接到并隐藏控制台会话注意无须具有终端服务器客户端访问许可证即可使用用于管理的远程桌面。不过，只有管理员组的成员才能访问服务器。默认情况下，用于管理的远程桌面随 Windows Server 2003 一同安装。不过，出于安全原因而禁用用于管理的远程桌面。终端服务器终端服务器允许多个远程客户端同时访问服务器上运行的基于 Windows 的程序。这是终端服务器常规部署方式。在使用终端服务器模式时，服务器接受由管理员以外的人员进行的两个以上的同时连接。使用此模式时，可以在任何成员服务器上安装终端服务授权服务。不过，必须在所有终端服务器上配置一个首选许可证服务器，该服务器必须能够与配置为域许可证服务器的非域控制器许可证服务器通信。会自动搜索在非域控制器上部署的企业域许可证服务器。有关如何配置首选许可证服务器的其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：279561 如何覆盖 Windows Server 2003 终端服务中的许可证服务器发现进程301932 终端服务许可服务发现239107 建立首选 Windows 2000 终端服务许可证服务器有关终端服务许可的其他信息，请访问下面的 Microsoft 网站：/windowsserver2003/technologies/terminalservices/defaultmspx在启用 Windows Server 2003 终端服务之前，请查看以下各项：服务器服务器是包含大多数计算资源的计算机，用于终端服务网络环境。它接收和处理客户端发生的击键和鼠标操作。服务器可在客户端窗口中显示桌面和正在其上运行的程序。消息消息是一种使用远程桌面协议 (RDP) 52 在服务器和客户端间进行的通信。RDP 是一种需要依赖 TCP/IP 的程序层协议。客户端正在服务器运行上的远程桌面可显示在客户端计算机的窗口中。在客户端计算机上启动程序时，这些程序实际上正在服务器上运行。在 Windows 2000 中，远程桌面连接名为终端服务客户端。远程桌面连接使用最新的 RDP 52，这一版本与早期版本相比进行了极大的改善。可以使用远程桌面连接来连接到较早版本的终端服务。启用“用于管理的远程桌面”默认情况下，“用于管理的远程桌面”处于禁用状态。要启用它，请按照下列步骤操作：单击“开始”，单击“控制面板”，然后单击“系统”。单击“远程”选项卡，单击以选中“允许用户远程连接到这台计算机”复选框，然后单击“确定”。注意：无须具有终端服务器客户端访问许可证即可使用用于管理的远程桌面。在启用了用于管理的远程桌面的终端服务器上，最多自动允许同时进行两个连接。更改会话的加密级别默认情况下，终端服务会话的加密级别设置为“客户端兼容”，以提供客户端支持的最高加密级别。其他可用设置为：高 - 此设置通过 128 位密钥来提供双向安全性。低 - 此设置使用 56 位加密。符合 FIPS 标准 - 使用经过联邦信息处理标准 140-1 验证的方法加密所有数据。所有级别均使用标准 RSA RC4 加密。 要更改加密级别，请按照下列步骤操作：单击“开始”，指向“所有程序”，指向“管理工具”，然后单击“终端服务配置”。在左窗格中，单击“连接”。在右窗格中，右键单击“RDP-tcp”，然后单击“属性”。单击“常规”选项卡，在“加密”列表中单击所需的加密级别，然后单击“确定”。故障排除如果终端服务没有正常运行，请检查 IP 地址。如果提供的 IP 地址无效，则可能会出现问题。如果程序不能正常运行，请考虑以下问题：用于锁定文件的程序或 DLL 文件不能正常运行。如果多个用户试图同时使用同一程序，则可能会出现此问题。使用计算机名或 IP 地址进行标识的程序不能正常运行。如果多个用户使用同一计算机名或 IP 地址同时运行程序，则可能会出现此问题。

在Windows server2003 配置服务器环境时，出现缺少文件的提示框，大部分是因为缺少系统必要的文件，处理方法：

1有系统安装光盘的，插入I386所在盘，重新安装服务器程序

2没有安装盘的，百度搜索：Windows server 2003 IIS 60 I386完整文件包，下载解压，重新安装时按提示选择该文件夹即可。

3出现这种情况，大部分是因为之前安装了精简版的系统，或ghost版本，导致系统文件缺失，所以需要补充完整程序文件。

如何配置Win2003的NTFS文件系统权限及IIS权限设置参考(供使用Win2003服务器参考)

如何配置Win2003的NTFS文件系统权限

一、首先了解权限设置的方案

　1、被授予权限的对象分用户和用户组两种

　2、批量设置有两大方案，当设置某个目录的权限时，进入高级

　　　I 可设置是否继承父级权限设置　（第一个勾）

　　　II 可设置是否替换子目录及文件的权限设置　（第二个勾）

二、系统盘主要目录的权限设置

C:只授予 System 和 Administrators 完全控制权限，删除其他用户或组，不替换子目录

C:\Documents and Settings

仅继承父级，并替换子目录

C:\Inetpub

删除之，不要使用该目录作为网站发布的目录。

C:\Program Files

仅继承父级，并替换子目录

C:\Program Files\Common Files\Microsoft Shared

删除继承并保留设置（在“高级”中取消第一个勾，再在弹出的对话中选“复制”）

添加 Users 组，只授予读取权限

将该目录的设置替换它的子目录（勾中第二个勾）

C:\Windows

删除继承并保留设置

添加 Users 组，只授予读取权限

将该目录的设置替换它的子目录

（具体做法和上面 /Microsoft Shared　目录设置一样）

C:\Windows\Temp

添加 IIS_WPG、ASPNET、Network Services、Network 用户或组

授予完全控制权限，替换它的子目录

C:\Windows\MicrosoftNET\Framework\v114322\Temporary ASPNET Files

添加 Everyone，授予完全控制权限，将该设置替换它的子目录

三、其他盘的设置

C盘设置完成，其他盘均仅给 System 和 Administrators 授予完全控制即可。

网站发布目录授予IIS匿名用户读取访问权限。需要NET权限的目录添加 IIS_WPG 组（或隶属于该组的某个用户），授予完全控制权限。

IIS权限设置参考

虽然 Apache 的名声可能比 IIS 好，但我相信用 IIS 来做 Web 服务器的人一定也不少。说实话，我觉得 IIS 还是不错的，性能和稳定性都相当不错。但是我发现许多用 IIS 的人不太会设置 Web 服务器的权限，因此，出现漏洞被人黑掉也就不足为奇了。但我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限，出现漏洞被人黑掉的机会还是很小的（Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外）。下面是我在配置过程中总结的一些经验，希望对大家有所帮助。

IIS Web 服务器的权限设置有两个地方，一个是 NTFS 文件系统本身的权限设置，另一个是 IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上。这两个地方是密切相关的。下面我会以实例的方式来讲解如何设置权限。

IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：

脚本资源访问

免费收录网站 wwwadmin5net

读取

写入

浏览

记录访问

索引资源

6 个选项。这 6 个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。但是如果前面四个权限都没有设置的话，这两个权限也没有必要设置。在设置权限时，记住这个规则即可，后面的例子中不再特别说明这两个权限的设置。

另外在这 6 个选项下面的执行权限下拉列表中还有：

无

纯脚本

纯脚本和可执行程序

3 个选项。

而网站目录如果在 NTFS 分区（推荐用这种）的话，还需要对 NTFS 分区上的这个目录设置相应权限，许多地方都介绍设置 everyone 的权限，实际上这是不好的，其实只要设置好 Internet 来宾帐号（IUSR_xxxxxxx）或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限，那么设置 Internet 来宾帐号的权限，而对于 ASPNET 程序，则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出，没有明确指出的都是指设置 IIS 属性面板上的权限。

例1 —— ASP、PHP、ASPNET 程序所在目录的权限设置：

如果这些程序是要执行的，那么需要设置“读取”权限，并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”，更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号（ASPNET 程序是 IIS_WPG 组）的写权限，而不要配置 IIS 属性面板中的“写入”权限。

站长必看的网站 wwwadmin5com

IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理，对于普通网站，一般情况下这个权限是不打开的。

IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限，而是指可以访问源代码的权限，如果同时又打开“写入”权限的话，那么就非常危险了。

执行权限中“纯脚本和可执行程序”权限可以执行任意程序，包括 exe 可执行程序，如果目录同时有“写入”权限的话，那么就很容易被人上传并执行木马程序了。

对于 ASPNET 程序的目录，许多人喜欢在文件系统中设置成 Web 共享，实际上这是没有必要的。只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录，只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限，可能会造成不安全因素。

剑心总结:也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了需要aspnet的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了不要在文件夹上选web共享

例2 —— 上传目录的权限设置：

用户的网站上可能会设置一个或几个目录允许上传文件，上传的方式一般是通过 ASP、PHP、ASPNET 等程序来完成。这时需要注意，一定要将上传目录的执行权限设为“无”，这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序，也不会在用户浏览器里就触发执行。 网站精华 topadmin5com

同样，如果不需要用户用 PUT 指令上传，那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号（ASPNET 程序的上传目录是 IIS_WPG 组）的写权限。

如果下载时，是通过程序读取文件内容然后再转发给用户的话，那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开，除非你就是希望用户可以浏览你的上传目录，并可以选择自己想要下载的东西。

剑心总结:一般的一些aspphp等程序都有一个上传目录比如论坛他们继承了上面的属性可以运行脚本的我们应该将这些目录从新设置一下属性将(纯脚本)改成(无)

例3 —— Access 数据库所在目录的权限设置：

许多 IIS 用户常常采用将 Access 数据库改名（改为 asp 或者 aspx 后缀等）或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上，这是不必要的。其实只需要将 Access 所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限，你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。

站长网 wwwadmin5com

剑心总结:Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写那么Access所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了

例4 —— 其它目录的权限设置：

你的网站下可能还有纯目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等，这些目录只需要设置“读取”权限即可，执行权限设成“无”即可。其它权限一概不需要设置。

好了，我想上面的几个例子已经包含了大部分情况下的权限设置，其它情况根据这些例子，我想你一定可以想到该如何设置了吧。