Windows server 2008设置远程桌面连接的详细步骤

凭借无与伦比的安全优势，Windows Server 2008系统让不少朋友在不知不觉中加入了使用行列。不过，这并不意味着Windows Server 2008系统的安全性就能让人高枕无忧了；这不，当我们开启了该系统自带的远程桌面功能后，Windows Server 2008系统的安全问题随即就凸显出来了，如果我们不对远程桌面功能进行合适设置，那么Windows Server 2008服务器系统受到非法攻击的可能性就会加大。为了让Windows Server 2008系统更安全，本文特意总结几则远程桌面功能的安全设置技巧，希望大家能从中获得启发！强迫执行网络级身份验证 尽管传统操作系统也具有远程桌面功能，不过Windows Server 2008系统对远程桌面功能的安全性能进行了强化，它允许网络管理员通过合适设置来强迫远程桌面连接用户执行网络级身份验证，以防止一些非法用户也趁机使 用远程桌面功能来入侵Windows Server 2008服务器系统。要实现强迫远程桌面连接用户执行网络级身份验证操作时，我们必须按照如下步骤来设置Windows Server 2008系统的远程桌面连接参数：  

 首先以超级用户的身份登录进入Windows Server 2008服务器系统，打开对应系统的“开始”菜单，从中依次选择“程序”、“管理工具”、“服务器管理器”选项，打开本地服务器系统的服务器管理器控制台窗口；其次将鼠标定位于服务器管理器控制台窗口左侧显示区域中的“服务器管理”节点选项上，在对应“服务器管理”节点选项的右侧显示区域，单击“服务器摘要”设置区域中的“配置远程桌面”链接，打开服务器系统远程桌面功能的设置对话框；

  在该设置对话框的“远程桌面”处，服务器系统共为我们提供了三个设置选项，如果我们想让局域网中的任何一台普通计算机都能顺利使用远程桌面连接来远程控 制Windows Server 2008服务器系统时，那应该将“允许运行任意版本远程桌面的计算机连接”功能选项选中，当然这种功能选项容易对Windows Server 2008服务器系统的运行安全性带来麻烦。

 为了让我们能够安全地使用远程桌面功能来远程控制服务器，Windows Server 2008系统推出了“只允许运行带网络级身份验证的远程桌面的计算机连接”这一控制选项（如图1所示），我们只要将该控制选项选中，再单击“确定”按钮保 存好设置操作，日后Windows Server 2008系统就会自动强制对任何一位远程桌面连接用户执行网络级身份验证操作了，这样的话非法用户自然也就不能轻易通过远程桌面连接功能来非法攻击 Windows Server 2008服务器系统了。

  只许特定用户使用远程桌面 要是开通了Windows Server 2008服务器系统的远程桌面功能，本地服务器中也就多开了一扇后门，有权限的用户能进来，没有权限的用户同样也能进来，如此一来本地服务器系统的运行安 全性自然就容易受到威胁。事实上，我们可以对Windows Server 2008服务器系统的远程桌面功能进行合适设置，让有远程管理需求的特定用户能从远程桌面这扇后门中进来，其他任何用户都不允许自由进出，那样的话 Windows Server 2008服务器系统受到非法攻击的可能性就会大大降低了；要想让特定用户使用远程桌面功能，我们可以按照如下操作来设置Windows Server 2008服务器系统：

 首先打开Windows Server 2008服务器系统的“开始”菜单，从中依次选择“程序”、“管理工具”、“服务器管理器”选项，进入本地服务器系统的服务器管理器控制台窗口；  

  其次单击服务器管理器控制台窗口右侧区域中的“配置远程桌面”链接选项，打开服务器系统远程桌面功能的设置对话框，单击该对话框中的“选择用户”按钮，系统屏幕上将会出现如图2所示的设置窗口；   

  将该设置窗口中已经存在的用户账号一一选中，并单击“删除”按钮；之后，再单击“添加”按钮，在其后出现的用户账号浏览对话框中，找到有远程管理需求的 特定用户账号，并将该账号选中添加进来，再单击“确定”按钮退出设置操作，这样的话任何一位普通用户日后都不能使用远程桌面功能来对Windows Server 2008服务器系统进行远程管理了，而只有在这里设置的特定用户才有权限通过远程桌面连接访问目标服务器系统。

 禁止administrator使用远程桌面 在缺省状态下，Windows Server 2008服务器系统允许administrator账号使用远程桌面功能，为了防止非法攻击者尝试使用该用户账号来攻击本地服务器系统，我们可以按照下面 的操作来禁止administrator账号通过远程桌面连接来访问Windows Server 2008服务器系统：由于从服务器 系统中无法直接删除administrator账号，为此我们可以采用最为极端的方法，那就是将administrator账号强行禁用；禁用该用户账号 最简单的方法就是先依次单击服务器系统桌面中的“开始”/“程序”/“附件”选项，从下拉菜单中选中“命令提示符”命令，并用鼠标右键单击该命令选项，再 执行右键菜单中的“以管理员身份运行”命令，打开Windows Server 2008系统的MS-DOS工作窗口，在该窗口的命令行中执行字符串命令“net user administrator /active:no”就可以了。

 不过，上面的方法往往会影响网络管理员正常管理服务器系统，为此我们还可以通过为administrator账号更名的方式，来禁止administrator使用Windows Server 2008系统的远程桌面连接：

首先以超级用户的身份登录进入Windows Server 2008服务器系统，依次单击该系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpeditmsc”，单击“确定”按钮，打开本地服务器系统的组策略编辑控制台窗口；  

  其次在该控制台窗口的左侧列表区域中，将鼠标定位于“计算机配置”分支选项上，再从该分支下面依次展开“Windows设置”/“安全设置”/“本地策 略”/“安全选项”，在对应“安全选项”的右侧显示区域中，双击“帐户：重命名系统管理员”目标组策略选项，打开如图3所示的选项设置窗口，在该窗口中我 们就能将administrator的名称修改成其他人不容易猜中的账号名称，最后单击“确定”按钮就能使设置生效了。   

  当然，我们也可以通过将administrator账号的终端登录权限取消的方法，来达到禁止administrator使用远程桌面功能的目的；在取 消administrator账号的终端登录权限时，我们可以先按前面操作打开服务器系统的组策略编辑控制台窗口，将鼠标定位于组策略编辑控制台窗口左侧 区域中的“计算机配置”分支选项上，再从该分支下面依次展开“Windows设置”/“安全设置”/“本地策略”/“用户权限分配”子项，在对应“用户权 限分配”子项的右侧显示区域中，双击目标组策略选项“通过终端服务允许登录”，在其后弹出的窗口中将administrators账号删除掉，如此一来， 当非法用户尝试使用administrator账号远程连接Windows Server 2008服务器系统时，就会出现拒绝登录的报警提示。

 只许特定计算机使用远程桌面 有的时候，为了防止局域网中的计算机病毒随意通过远程桌面连接传染给Windows Server 2008服务器系统，我们需要限定任何用户只能从局域网中特定的安全计算机上使用远程桌面功能，来远程控制目标服务器系统。为了实现只许特定计算机使用远 程桌面与Windows Server 2008服务器系统建立连接的目的，我们可以按照如下步骤来设置本地服务器系统：

 首先以系统管理员权限登录进入Windows Server 2008服务器系统，依次单击“开始”/“运行”命令，打开系统运行文本框，在其中输入“gpeditmsc”字符串命令，单击“确定”按钮，打开组策略编辑控制台窗口； 其次在该控制台窗口的左侧显示区域中，将鼠标定位于“计算机配置”分支选项上，再从该分支下面依次展开“管理模板”/“网络”/“网络连接” /“Windows防火墙”/“标准配置文件”子项，找到“标准配置文件”子项下面的“Windows防火墙：允许入站远程管理例外”目标组策略项目，用 鼠标双击该项目，打开如图4所示的属性设置界面；

   下面将该设置界面中的“已启用”项目选中，并且在其后自动激活的“允许来自这些IP地址的未经请求的传入消息”文本框中输入安全的特定计算机IP地址， 再单击“确定”按钮完成设置操作，这样的话任何用户日后只能从这里指定的普通计算机上使用远程桌面功能来远程控制Windows Server 2008服务器系统了。  www   禁止所有计算机使用远程桌面在排查网络故障的时候，我们有时 需要临时禁止局域网中的所有计算机与Windows Server 2008服务器系统建立远程桌面连接，实现这种控制目的的方法有很多，不过最为简单的方法，就是利用服务器系统内置防火墙功能来快速禁止Windows Server 2008系统的远程桌面访问网络，下面就是具体的限制步骤：

 首先打开Windows Server 2008服务器系统桌面的“开始”菜单，从中依次单击“设置”/“控制面板”选项，在弹出的系统控制面板窗口中，双击Windows防火墙选项，在其后弹 出的窗口中单击左侧区域中的“启用或关闭Windows防火墙”链接，进入Windows Server 2008系统的防火墙基本配置窗口； 接着单击基本配置窗口中的“例外”选项卡，打开如图5所示的选项设置页面，将该页面中的“远程桌面”选项取消选中，再单击“确定”按钮关闭设置页面，如 此一来局域网中的任意一台计算机再次尝试与Windows Server 2008服务器系统建立远程桌面连接时，都会被对应系统中的内置防火墙程序强行禁止掉了。

  对远程桌面连接适当限制 大家知道，如果在某一段时间内同时有若干个远程桌面连接访问Windows Server 2008服务器系统时，对应服务器系统的运行效率就会受到明显影响，甚至能发生无法响应的故障现象。为了确保Windows Server 2008服务器能够稳定运行，我们可以按照下面的操作，来对远程桌面连接数量进行适当限制：

 首先以超级用户身份登录进Windows Server 2008服务器系统，依次单击“开始”/“程序”/“管理工具”/“终端服务”/“终端服务配置”命令，打开对应系统的终端服务配置控制台窗口；其次点选该控制台窗口左侧显示区域中的“授权诊断”分支选项，在对应该分支选项的右侧显示区域中，选中“RDP-Tcp”选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开“RDP-Tcp”选项的属性设置对话框；  www   接着单击该属性设置对话框中的“网络适配器”标签，进入如图6所示的标签设置页面，在该设置页面的最大连接数设置项处，我们可以根据服务器系统自身的硬件配置性能进行合适设置，通常将该数值限制在“10”以下，最后单击“确定”按钮就可以了。

   当然，我们也可以通过修改系统注册表的方法，来对远程桌面连接数量进行适当限制；在进行这种限制操作时，我们可以依次单击“开始”/“运行”命令，在系 统运行框中执行“regedit”命令，打开服务器系统的注册表编辑界面；将鼠标定位于该注册表编辑界面左侧显示区域中的 “HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows NT/Terminal Services”分支选项上，在对应“Terminal Services”选项的右侧显示窗格中创建好双字节值“MaxInstanceCount”，再将该键值的数值设置成十进制的“10”，最后刷新一下系 统注册表就可以使设置生效了。     作者 张毅

问题一：如何开启电脑的远程服务 和“远程服务”相关的服务有很多种，你最好讲清楚具体什么远程服务，否则大家没办法回答你。

我想你问的可能是远程控制服务。这个并不难。在`桌面`上右键点`我的电脑`，`属性`，`远程`。当然，这只是让别人能访问你的电脑。

如果你想访问别人的电脑，可以在`开始` `运行`中输入mstsc，然后回车，输入对方的IP地址或者计算机名就可以了。

登陆别人的电脑，前提是要知道对方的IP地址（或计算机名）以及允许远程控制的用户名和密码。缺一不可。

问题二：如何开启远程桌面连接 xp 1）启动Remote Desktop Help Session Manager服务：这个服务用于管理并控制远程协助。如果此服务被终止，远程协助将不可用。开启方法：我的电脑―>右键―>管理―>服务和应用程序―>服务―>找到Remote Desktop Help Session Manager―>右键进行“启动”（可以通过属性来其启动类型为“自动”，这样开机系统就会自动开启这个服务，就省的每次都要来开启，不过方便会伴随着风险）。

2）启动Terminal Services服务：这个服务允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。开启方法和上面的类似：我的电脑―>右键―>管理―>服务和应用程序―>服务―>找到Terminal Services―>右键进行“启动”（可以通过属性来其启动类型为“自动”，这样开机系统就会自动开启这个服务，就省的每次都要来开启，不过方便会伴随着风险）。

3）给需要被远程登录的计算机设置账户密码：如果之前已经给系统设置过帐号和密码，同时想远程登录时采用同样的帐号和密码，则可以不用设置了。如果之前的帐号没有设置密码或者想分配一个新的账户，就可以设置。设置后就可以为防止其他人登录你的系统提高安全保障，设置方法如下：开始―设置―控制面板―用户帐户

情况一：给没有密码保护的帐号设置密码。在用户帐号界面选择你想要登录的账户，进入，选择“创建密码”，进行密码设置；

情况二：创建新的帐号并设置密码。在用户帐号点击“创建新的账户”―输入账户名―输入密码―创建。

4）激活远程桌面连接：步骤如下（成功如图）

第一步：在桌面“我的电脑”上点鼠标右键，选择“属性”。

第二步：在弹出的系统属性窗口中选择“远程”标签。

第三步：在远程标签中找到“远程桌面”，在“容许用户连接到这台计算机”前打上对勾后确定即可完成XP下远程桌面连接功能的启用。

说明：进行上述设置时，必须以Administrators组成员登录到计算机。

四、远程连接测试

1）获取被连接（需要登录的系统）的计算机的IP地址：获取方式为 开始―运行―输入“cmd”―在命令行输入“ipconfig”―找到“IP Address”――记下IP地址，在后面的登录时需要用；

2）远程登录被链接的系统：开始――所有程序――附件――远程桌面连接――在弹出的窗口中（如下图所示）输入上一步所记录的IP地址――点连接，若干秒之后,电脑黑屏，再若干秒之后,将出现登录XP系统的界面，输入之前设置的账户和密码，成功进入远程桌面。

五、小结

亲自测试成功。在网络搜索到的关于远程桌面连接的教程不少，也很简单，但是都没提到开启Remote Desktop Help Session Manager和Terminal Services这两项服务，如果没有开启这两项服务就直接去激活远程桌面连接，其他机子输入IP地址进行连接的时候或提示连接失败。这时就要去被登录的系统上查看是否开启了这两项服务。

问题三：如何开启自己计算机远程桌面连接功能？ 远程桌面连接功能是IP地址使用到最强大的功能，远程桌面连接是指当离开电脑时使用另一能电脑控制本电脑，对被控制电脑进行操作。本经验要讲的就是如何开启远程桌面连接功能，在同一个网络中才可以使用电脑自带远程功能，不是同一网络中的借用软件来实现远程连接。

右键点击电脑桌面的‘网络’进入‘属性’; 在‘网络和共享中心’点击‘本地连接‘；

双击打开’协议版本四‘，在’常规‘设置查看IP地址，动态IP地址无法开启远程桌面连接功能（除非路由器中设置转发，路由器设置在这里不进行解说）；

如果你的是动态IP地址，在运行输入’cmd‘命令查看IP基本信息，最后填写在协议版本四中。

使用另一台电脑（虚拟机也可以）打开运行输入’mstsc‘,在远程桌面连接下点击选项。把体验性能设置成最高。

输入框中输入被远程的IP地址，当出现询问是否连接时点击‘是’，然后输入帐户和密码进行远程。

最后远局域网远桌面连接成功。成功登录上自己的电脑。

问题四：我公司的电脑的程序上没有显示远程连接，我该怎么开远程连接？ 打开远程连接方法：

我的电脑-右键-属性-远程-允许用户远程连接到此计算机前面的勾打上

远程连接其他电脑的方法：

开始-运行-mstsc-输入ip地址-连接

问题五：怎么开启远程我的电脑属性里的远程桌面服务呢？ CMD 下开3389命令

winxp和win2003终端开启

相对于2000的系统来说，XP和2003cmdshell下开启远程桌面服务就比较容易一些了，起码无需重启嘛！第一种方法也是用echo命令写入一个 3389reg文件，再regedit /s 3389reg导入注册表文件即可开启，比较简单，与上面介绍的2000的开启方法类似。将如下代码一行一行地复制到cmdshell窗口后按回车执行：

echo Windows Registry Editor Version 500 >3389reg

echo >>3389reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\Curr户ntControlSet\Control\Terminal Server] >>3389reg

echo fDenyTSConnections=dword:00000000 >>3389reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>3389reg

echo PortNumber=dword:00000d3d >>3389reg

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>3389reg

echo PortNumber=dword:00000d3d >>3389reg

完成以上操作后再执行regedit /s 3389reg导入即可生效！

开启WIN系统防火墙的命令是 net start（stop为关闭) sharedaccess

问题六：怎么知道自己的电脑有没有开启远程控制 这是xp的，win7 的也差不多，打钩了就是开启了远程控制，只要有你的计算机动态 域名，或内网，外网ip地址一般人都能登录你的电脑，这个我试过了，内网直接用远程桌面控制很方便，适合局域网用户，祝你好运。

问题七：电脑如何设置远程连接 右键电脑-属性-高级系统设置-远程，看到什么了吗，试试吧

问题八：如何设置电脑远程访问 这个问题很简单

1 你要有公司的***账号，并运行***账户方便与公司内网连接；

2 先把办公室的电脑作如下设置：

弧右击我的电脑―属性―远程―允许用户远程连接到此计算机前打√

3 在家里面电脑上，点击开始―运行―输入mstsc,就会弹出一个窗口你只要在上面输入你所要控制电脑的IP，接下来输入电脑用户名和密码。一切就OK啦

问题九：如何开启远程桌面连接功能 右键点击电脑桌面的‘网络’进入‘属性’; 在‘网络和共享中心’点击‘本地连接‘;

双击打开’协议版本四‘，在’常规‘设置查看IP地址，动态IP地址无法开启远程桌面连接功能(除非路由器中设置转发，路由器设置在这里不进行解说)

如果你的是动态IP地址，在运行输入’cmd‘命令查看IP基本信息，最后填写在协议版本四中。

右键点击’我的电脑‘进入’属性‘点击左过菜单栏中的’远程设置‘;把远程桌面选项设置成’允许运行任意版本远程桌面的计算机连接‘。

在Windows2000 Server 服务器上配置 NAT(网络地址转换)

NAT与ICS一样,主要用于家庭网络或小型办公网络,它可以使用多台计算机共享单个的Internet连接

网络地址转换包括:

1转换组件

它的作用是转换公用网络和专用网络的IP地址,转换专用网络和Internet之间转发数据包的TCP/UDP 端口号。

2寻址组件

寻址组件是简化的 DHCP 服务器，它可以为专用网络中的客户机分配IP地址、子码掩码、默认网关以及 DNS 服务器的IP地址。通常它的地址池中只包含20个左右的地址，如你将NAT服务器的地址设置为19216811，那么它的静态地址池中包含的地址往往是从1921681100-

1921681120。

3名称解析组件

名称解析组件充当专用网络上其它计算机的DNS服务器。当NAT服务器接受到专网上客户机的DNS请求时，它会将该请求转发到指定的Internet上的DNS服务器，并将响应返回给专用网络上的计算机。

一、配置服务器网卡

（1）在服务器上安装两块网卡，安装完毕后，"网络和拨号连接"文件夹中会出现两个连接：本地连接和本地连接2，为了方便操作，我们将这两个连接分别改名为“内网连接”和“校园网连接”。其中“内网连接”连接到内部网络的交换机端口，内网的所有计算机都连接在这个交换机上组成一个小型的局域网；“校园网连接”连接到校园网的交换机端口上，这个交换机连接到网络中心，从而连接到Internet。

（2）配置“内网连接”网卡：IP地址设置为19216811，子网掩码设置为2552552550，默认网关不配置，其它采用默认值。

（3）配置“校园网连接”网卡：IP地址设置为172181055（由网络中心分配），子网掩码设置为2552552550，默认网关设置为1721810254（由网络中心分配），DNS设置为1721811。在配置“校园网连接”网卡时注意，如果这时不配置默认网关，那就必须在路由和远程访问中配置默认的静态路由条目（后述）。

二、配置服务器NAT地址转换

（1）启动“路由和远程访问”：“开始”菜单->“程序”->“管理工具”->“路由和远程访问”。默认状态下，将本地计算机列出为服务器要添加其他服务器，请在控制台目录树中，右键单击“服务器状态”，然后单击“添加服务器”。

（2）右击要启用的服务器（这儿是本地服务器），然后单击“配置并启用路由和远程访问”，启动配置向导。

（3）跳过欢迎页面，下一步进入向导的公共设置页面。公共设置页面共有5项供选择：Internet连接服务器、远程访问服务器、虚拟专用网络（***）服务器、网络路由器、手动配置服务器。我们这儿选择“Internet连接服务器”，下一步。

（4）进入Internet连接服务器设置页面，有两项选择：设置Internet连接共享和设置有网络地址转换（NAT）路由协议的路由器。选择“设置有网络地址转换（NAT）路由协议的路由器”，下一步。

（5）在Internet连接页面，有两项选择：使用选择的Internet连接和创建一个新的请求拨号Internet连接。选择“使用Internet连接”，在下面的Internet列表中选项“校园网连接”，我们将让客户机通过这条连接访问Internet。下一步。

（6）完成向导，系统将启动路由和远程访问功能并完成初始化工作。

（7）如果我们在配置服务器网卡时已经给“校园网连接”配置了默认的网关，那么我们服务器的配置就完成了。如果没有配置，我们需要再配置一下静态路由。

（8）配置静态路由：“服务器”->“IP路由选择”->“静态路由”。右击“静态路由”，选择“静态路由”快捷菜单，调出“静态路由”配置对话框。在接口中连接“校园网连接”，目标与子网掩码均填写“0000”，网关填写“1721810254”，跃点数填写“1”。“确定”退出

三、客户端设置

客户端的设置比较简单，主要是IP地址设置。

（一）自动获得取IP地址

“控制面板”->“网络”，打开“网络”对话框。将网卡的TCP/IP属性设置为自动获得IP地址，自动获得DNS服务器地址。确定退出。

（二）人工设置IP地址

将计算机的地址设置为“19216812”，子网掩码为“2552552550”，网关为“19216811”，DNS服务器地址“1721811”，这儿也可以设置其它的DNS地址，不必一定要设置个地址的。确定退出。

（三）因为NAT服务器使用了自动分配地址的机制，因此在人工设置IP地址时要注意不要发生地址冲突。

四、测试连接情况

1、客户机Ping一下NAT服务器，包括ping 19216811与ping 172181055

2、客户机Ping一下路由器:ping 1721810254

3、服务器Ping一下客户机，如:ping 19216812

4、客户机打开IE测试一下网站访问情况，通常不会有什么问题的。

要想使用 mstsc 这个远程桌面命令，首先要确保对方的电脑上安装了运行此服务的软件，一般微软windows自身携带这个软件，这个功能附带安装在win2000server、win2003server、win2008server上。

当对方是windows服务器时按照下面的步骤实现：

win+R（或“开始”——“运行”）——“mstsc”

在“计算机”后面的框中输入服务器的IP地址，如果有端口号，请确认使用“IP:端口号”的形式，如：19216801:3390 ，默认的端口号是3389不需要输入，只有在服务器修改了默认端口号的时候才使用英文状态下的“:”加新端口号的形式。以下输入了正确的域名或IP后显示连接成功的标志，你只需要点击“是”就可以连接到对方的主机，可是仍需要你输入账户和密码信息。

如果对方是域名的形式，如 aabccom 你也可以使用“域名:端口号”的形式实现远程桌面连接，通常独立IP的服务器和VPS服务器都是这样管理的，不过鉴于安全的考虑，我推荐大家修改默认的远程登录端口号改掉，以免被登陆。不过大部分虚拟主机站点是不需要这样的设置的，因为这由主机服务提供商负责管理。

win7专业版远程显示未启用对服务器远程访问，是设置错误造成的，解决方法如下：

1、首先打开win7台式机，在桌面中找到计算机，鼠标右键选择属性，如下图所示。

2、然后在打开的属性页面中，打开高级系统设置。

3、接着在打开的高级系统设置中，点开远程，如图。

4、接着将允许任意版本远程桌面的计算机连接勾选下，如下图所示。

5、接着点确定，如图，就可以解决问题了。