Configuration Manager中的远程连接配置文件
适用于: Configuration Manager(current branch)
使用Configuration Manager远程连接配置文件允许用户远程连接到工作计算机。 这些配置文件允许将远程桌面连接设置部署到层次结构中的用户。 用户可以通过 VPN 连接通过远程桌面访问其任何主工作计算机。
重要
使用 Configuration Manager 指定远程连接配置文件设置时,客户端会将设置存储在 Windows 本地策略中。 这些设置可能会替代使用其他应用程序配置的远程桌面设置。 此外,如果使用 Windows 组策略 配置远程桌面设置,组策略中指定的设置将替代Configuration Manager设置。
Configuration Manager在客户端“远程电脑连接”上创建安全组。 部署远程连接配置文件时,客户端会将计算机的主要用户添加到此组。 本地管理员可以手动向此组添加或删除用户,但Configuration Manager下次评估配置文件的符合性时更新成员身份。
重要
如果用户与设备之间的用户设备相关性关系发生更改,Configuration Manager禁用远程连接配置文件和 Windows 防火墙设置,以防止连接到计算机。
先决条件
外部相关性
如果要让用户能够从 Internet 进行连接,请安装和配置远程桌面网关服务器。 有关如何安装和配置远程桌面网关服务器的详细信息,请参阅 远程桌面服务 - 从任意位置访问。
如果客户端运行基于主机的防火墙,则必须启用mstsc.exe程序。 配置远程连接配置文件时,请为 Windows 域和专用网络上的连接启用“允许 Windows 防火墙例外”设置。 此设置允许Configuration Manager自动配置 Windows 防火墙。
提示
组策略配置 Windows 防火墙的设置可以替代在 Configuration Manager 中设置的配置。 如果使用组策略配置 Windows 防火墙,请确保组策略设置不会阻止mstsc.exe。
如果客户端运行其他基于主机的防火墙,请手动配置此防火墙依赖项。
Configuration Manager依赖项
为了使用户连接到工作计算机,该计算机必须是该用户的主要设备。 有关详细信息,请参阅 使用用户设备相关性链接用户和设备。
若要管理远程连接配置文件,用户帐户需要Configuration Manager中的特定权限。 合规性设置管理员内置角色包括管理这些配置文件所需的权限。 有关详细信息,请参阅 配置基于角色的管理。
安全和隐私注意事项
安全注意事项
手动指定用户设备相关性,而不是允许用户标识其主设备。 不要启用基于使用情况的配置。
在部署远程连接配置文件之前,需要启用 “允许工作计算机的所有主要用户远程连接”选项。 使用此配置时,应始终手动指定用户设备相关性。 不要认为Configuration Manager从用户或设备收集的信息具有权威性。 如果部署配置文件,并且受信任的管理用户未指定用户设备相关性,则未经授权的用户可能会收到提升的权限,并且可以远程连接到计算机。
Configuration Manager通过状态消息收集基于使用情况的信息,状态消息是一个快速但不安全的信道。 若要帮助缓解此威胁,请使用服务器消息块 (SMB) 签名或 Internet 协议安全性 (客户端计算机与管理点之间的 IPsec) 。
限制站点服务器计算机上的本地管理权限。 站点服务器上的本地管理员可以手动将成员添加到Configuration Manager自动创建和维护的远程电脑连接安全组。 此操作可能会导致特权提升,因为成员会收到远程桌面权限。
隐私注意事项
当用户远程连接到工作计算机时,会下载 .wsrdp 文件。 此文件包含设备名称和远程桌面网关服务器名称。 创建远程桌面会话需要这些值。 .wsrdp 文件将下载并自动保存在本地。 用户下次运行远程桌面会话时将覆盖此文件。
创建配置文件
在Configuration Manager控制台中,转到“资产和符合性”工作区,展开“符合性设置”,然后选择“远程连接配置文件”。
在功能区的“ 主页 ”选项卡上的“ 创建 ”组中,选择“ 创建远程连接配置文件”。
在“创建远程连接配置文件向导”的“常规”页上,指定配置文件的名称和可选说明。 这两个值的最大限制为 256 个字符。
在 “配置文件设置” 页上,指定以下设置:
远程桌面网关服务器的全名和端口 (可选) :指定要用于连接的远程桌面网关服务器的名称。 此值具有以下要求:
- 服务器名称不能超过 256 个字符。
- 它可以包含大写、小写和数字字符。
- 除了段之间的句点 (
.
) ,以及端口前的冒号 (:
) ,唯一的特殊字符是短划线 (–
) 和下划线 (_
) 。 - Configuration Manager不支持对此值使用国际化域名。
仅允许从运行具有网络级别身份验证的远程桌面的计算机进行连接:默认情况下,此设置会为连接添加额外的安全级别。 有关详细信息,请参阅 授予远程桌面访问权限。
启用以下连接设置:
允许远程连接工作计算机
允许工作计算机的所有主要用户远程连接
允许 Windows 域和专用网络上的连接出现 Windows 防火墙例外
重要
所有三个设置都必须相同,然后才能继续。
仅在部署配置文件以关闭远程连接时禁用这些设置。
完成该向导。
新配置文件显示在“资产和符合性”工作区的“远程连接配置文件”节点中。
部署
在Configuration Manager控制台中,转到“资产和符合性”工作区,展开“符合性设置”,然后选择“远程连接配置文件”。
在 “远程连接配置文件” 列表中,选择要部署的配置文件。 在功能区的“ 主页 ”选项卡的“ 部署 ”组中,选择“ 部署”。
在 “部署远程连接配置文件” 窗口中,指定以下信息:
集合:浏览以选择要在其中部署配置文件的设备集合。
在支持时修正不符合规则:启用此设置以在设备上不符合配置文件设置时自动修正这些设置。 配置文件在不存在时可能不符合。
允许在维护时段外进行修正:如果为将配置文件部署到的集合配置维护时段,请启用此选项,让Configuration Manager维护时段外对其进行修正。 有关详细信息,请参阅 如何使用维护时段。
生成警报:启用此选项以配置合规性警报。
指定此配置基线的符合性评估计划:指定客户端评估配置文件的简单或自定义计划。
选择 “确定” 关闭窗口并创建部署。
客户端评估
客户端在用户登录时评估配置文件。
如果设备离开你向其部署远程连接配置文件的集合,Configuration Manager禁用设备上的设置。 但是,若要正确执行此过程,必须已部署至少一个配置项目或配置基线,其中包含站点中的配置项目。
冲突解决
不要将多个具有冲突设置的远程连接配置文件部署到同一设备。 例如,将两个具有不同设置的配置文件部署到同一集合。 仅配置一个配置文件部署,以 在支持时修正不符合规则。 此部署可能会替代其他配置文件中的设置。 Configuration Manager不支持这种类型的远程连接配置文件部署。
监视
在Configuration Manager控制台中,转到“监视”工作区,然后选择“部署”。 在 “部署 ”列表中,选择远程连接配置文件部署。
可以在主页上查看有关远程连接配置文件部署的符合性的摘要信息。 若要查看更多详细信息,请选择配置文件部署。 然后在功能区的“ 主页 ”选项卡上的“ 部署 ”组中,选择“ 查看状态”。 此操作将打开“ 部署状态” 页。
“ 部署状态” 页包含以下选项卡:
符合性:根据受影响的资产数显示远程连接配置文件的符合性。
重要
如果远程连接配置文件不适用,则客户端不会评估它。 但是,它仍报告符合性。
错误:根据受影响的资产数显示所选远程连接配置文件部署的所有错误列表。
不符合:根据受影响的资产数显示远程连接配置文件中所有不符合规则的列表。
未知:显示未报告所选远程连接配置文件部署符合性的所有设备的列表,以及设备的当前客户端状态。
在任何选项卡上,打开规则以在“资产和符合性”工作区的“用户”节点下创建临时子节点。 此子节点包含具有所选选项卡符合性状态的所有设备。
“ 资产详细信息 ”窗格显示具有此配置文件的所选符合性状态的设备。 打开列表中的设备以显示其他信息。
报表
Configuration Manager包括内置报表,可用于监视有关远程连接配置文件的信息。 这些报表的报告类别为 “符合性和设置管理”。
重要
在合规性设置的 %
报告中使用参数 “设备筛选器 ”和 “用户筛选器 ”时,请使用通配符 () 。
有关如何在 Configuration Manager 中配置报表的详细信息,请参阅报告简介。