共用方式為

授權遠端桌面工作階段主機

您可以使用本文中的資訊,在遠端桌面服務 (RDS) 部署上設定工作階段主機的授權。 此程式會根據您指派給您要授權之會話主機的角色而略有不同。

必要條件

若要安裝會話主機的授權,您需要啟用具有每個使用者或每一裝置用戶端存取授權的遠端桌面授權伺服器(CAL)。

設定 RDS 部署的授權,其中包含 RD 連線代理人角色

如果您需要授權 RDS 部署不包含連線代理程式角色的會話主機,您必須使用組策略從 Active Directory 網域集中指定授權伺服器,或在每個會話主機上本機指定授權伺服器。 當您搭配 Azure 虛擬桌面使用 Windows Server 時,您也需要指定授權伺服器。

若要指定授權伺服器:

  1. 在 RD 連線代理人電腦上,開啟 [伺服器管理員]。

  2. 在 [伺服器管理員] 中,選取 遠端桌面服務>概觀>編輯部署內容>RD 授權

    設定遠端桌面服務部署頁面的螢幕快照。用戶選取 [工作] 下拉功能表,然後選取 [編輯部署屬性]。

  3. 選取遠端桌面授權模式 (每一使用者每部裝置,視您的部署的需求)。

    注意

    如果您使用已加入網域的伺服器進行 RDS 部署,則可以同時使用每一使用者和每部裝置 CAL。 如果您使用工作組伺服器進行 RDS 部署,則必須使用每部裝置 CAL。在此情況下,不允許每個使用者 CAL。

  4. 指定授權伺服器,然後選取 [新增]

    設定部署頁面的螢幕快照。兩個紅色框線會圍繞每個裝置和每個使用者的兩個單選按鈕,以及授權伺服器的檔案路徑欄位。

設定只包含 RD 工作階段主機角色和 RD 授權角色的 RDS 部署授權

  1. 視您想要從網域集中設定群組原則,或在每部工作階段主機上本機設定:

    • 開啟群組原則管理主控台 (GPMC),並建立或編輯以工作階段主機為目標的原則。

    • 開啟工作階段主機上的 [本機群組原則編輯器]

  2. 移至 電腦設定>系統管理範本>Windows 元件>遠端桌面服務>遠端桌面工作階段主機>授權

    遠端桌面授權原則清單的螢幕快照。使用指定的遠端桌面授權伺服器,並使用紅色框線醒目提示 [設定遠端桌面授權模式]。

  3. 在原則清單中,以滑鼠右鍵按一下 [使用指定的遠端桌面授權伺服器],然後選取 [屬性]。

  4. 選取 [已啟用],然後在 [要使用的授權伺服器] 下輸入授權伺服器的名稱。 如果您有多個授權伺服器,請使用逗號來分隔其名稱。

    [使用指定的遠端桌面授權伺服器] 視窗的螢幕快照。標示為 [授權伺服器使用] 的字段會醒目提示紅色框線。

  5. 選取 [確定]。

  6. 在原則清單中,以滑鼠右鍵按一下 [設定遠端桌面授權模式],然後選取 [屬性]。

  7. 選取 [啟用] 。

  8. 在 [指定遠端桌面工作階段主機伺服器的授權模式] 下,然後視需要針對您的部署選取 [每個裝置] 或 [每個使用者]。

    [設定遠端桌面授權模式] 視窗的螢幕快照。指定 RD 工作階段主機伺服器的授權模式的下拉功能表會以紅色框線反白顯示。

確定 RD 工作組話主機可以存取相同工作組中的 RD 授權伺服器

本節僅適用於工作組。 如果您的 RD 工作階段主機和 RD 授權伺服器已加入 Active Directory 中的網域,請略過本節。 如果 RD 授權伺服器和 RD 工作階段主機伺服器是相同的電腦,您也可以略過本節。

套用 CVE-2024-38099 的安全性更新之後,RD 授權伺服器會在要求或查詢授權時,強制 RD 工作階段主機伺服器呈現非非動態認證。 若要強制執行非必要認證存在,請確認 在 RD 工作階段主機上執行遠端桌面服務的 NT AUTHORITY\NETWORK SERVICE 帳戶可以存取認證。 使用下列步驟在工作組中設定機器。

首先,建議您在 RD 授權伺服器上建立專用使用者:

  1. 線上到 RD 授權伺服器。 如果是從遠端執行,當目標計算機無法連絡 RD 授權伺服器時,您可能需要使用 命令啟動mstsc.exe /admin連線應用程式。

  2. 連線之後,以滑鼠右鍵按兩下 [開始],然後選取 [ 執行],然後輸入 lusrmgr.msc。 然後按 ENTER 鍵。

  3. 在左側窗格中,選取 [使用者]

  4. 開啟 [動作] 功能表,然後選取 [新增使用者...]

  5. 為使用者選擇一個使用者名稱和唯一的強式密碼。 然後確認密碼。

  6. 取消選取 [使用者必須在下次登入時變更密碼] 核取方塊。

  7. 選取 建立

然後,在每個需要連線到 RD 授權伺服器的 RD 工作階段主機伺服器上,新增使用者:

  1. 線上到 RD 工作階段主機電腦。 如果是從遠端執行,如果目標計算機無法連絡任何 RD 授權伺服器,您可能需要啟動 遠端桌面 連線應用程式。 以系統管理員身分開啟 遠端桌面連線 ,或使用命令: mstsc.exe /admin

  2. NT AUTHORITY\NETWORK SERVICE 身分啟動命令提示字元。 您可以使用 Sysinternals Utilities 中的 PsExec 來執行此動作,方法是以系統管理員身分執行下列命令:

    psexec.exe -I -u "NT AUTHORITY\NETWORK SERVICE" cmd.exe

  3. 然後,使用下列命令,將授權伺服器的主機名或IP位址,以及使用者名稱和密碼新增至授權伺服器:

    cmdkey /add:<NAME-OF-THE-LICENSING-SERVER> /user:<NAME-OF-THE-LICENSING-SERVER>\<USERNAME> /pass

  4. 出現密碼提示時,輸入先前選取的密碼,然後按 ENTER 鍵。

RD 工作階段主機現在應該能夠連線到 RD 授權伺服器。

或者,在授權伺服器上可以停用適當驗證的需求。 如果您想要在 RD 授權伺服器上停用驗證的強制執行,儘管有風險,您可以修改登錄。

警告

不建議停用在 RD 授權伺服器上強制執行驗證,而且可能會導致安全性風險增加。 請自行承擔使用風險。

如果未正確使用登錄編輯程式,可能會導致嚴重問題,甚至可能必須重新安裝作業系統。 Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。 請自行承擔使用登錄編輯程式的風險。

若要更新 RD 授權伺服器上的登入機碼和值:

  1. 啟動註冊表 編輯器

  2. 使用下列值修改機碼: HKLM\ SYSTEM\CurrentControlSet\Services\TermServLicensing\Parameters

    • 名稱:D isableWorkgroupAuthEnforcement

    • 類型:REG_DWORD

    • 數據:1

警告

未來的 Windows 版本可能會停止接受此設定。

下一步

了解如何在追蹤遠端桌面服務用戶端存取授權 (RDS CAL),以建立報告來追蹤遠端桌面授權伺服器發出的 RDS 每一使用者 CAL。