Terminal Server User

什么是 Terminal Server User 权限？

• 定义: Terminal Server User 权限指的是通过终端服务登录系统的用户所拥有的权限，通常由 Remote Desktop Users 组或特定的终端服务策略控制。它适用于用户通过远程桌面协议（RDP）访问终端服务器的场景。

• 作用: 允许用户以终端服务会话的方式登录系统，运行应用程序或访问桌面，权限范围由账户身份和服务器配置决定。

• 历史背景: “Terminal Server” 是早期 Windows（如 Windows 2000 和 XP）对远程桌面服务的称呼，现代版本更常使用 Remote Desktop Services (RDS)。

---

Terminal Server User 权限的具体能力

Terminal Server User 的权限取决于登录账户所属的组（如 Remote Desktop Users 或 Administrators）及终端服务配置，默认包括：

1. 远程会话访问:

   • 登录权限: 可以通过 RDP 登录终端服务器，启动远程会话。

   • 应用程序运行: 在会话中运行授权的应用程序或完整桌面。

2. 文件和文件夹管理:

   • 默认权限:

     • 取决于账户身份：

       • 如果是 Remote Desktop Users 成员，通常限于用户文件夹（如 C:\Users\用户名）的访问。

       • 如果是 Administrators 成员，则有完全控制权。

   • 限制:

     • 无独立的文件系统权限，权限继承自账户。

3. 系统配置:

   • 无权修改终端服务器的全局设置，除非账户属于 Administrators。

4. 特权:

   • 拥有 SeRemoteInteractiveLogonRight（通过远程桌面服务登录的权限），由系统分配给授权用户。

---

与 Remote Desktop Users、Administrators 和其他组的关系

• 与 Remote Desktop Users 的对比:

  • Remote Desktop Users: 现代 Windows 中用于 RDP 登录的组。

  • Terminal Server User: 早期术语，通常等同于 Remote Desktop Users 的角色。

• 与 Administrators 的对比:

  • Administrators: 拥有完全控制权，默认可登录终端服务器。

  • Terminal Server User: 权限由账户身份决定，通常较低。

• 与 Users 的对比:

  • Users: 标准用户无权通过终端服务登录，除非加入 Remote Desktop Users。

  • Terminal Server User: 明确授权远程会话。

• 与 TrustedInstaller 的关系:

  • 无权修改受 TrustedInstaller 保护的系统文件。

---

Terminal Server User 权限的特点

• 默认成员: 无独立的 Terminal Server User 组，权限通过 Remote Desktop Users 或策略分配。

• 会话隔离: 终端服务用户运行在独立的会话中，彼此隔离。

• 历史性: 在 Windows Server 2008 及之后，终端服务更名为 RDS，但功能类似。

---

如何管理 Terminal Server User 权限？

1. 查看权限:

   • 本地安全策略（secpol.msc）→ 本地策略 → 用户权限分配 → “允许通过远程桌面服务登录”：

     • 默认分配给 Administrators 和 Remote Desktop Users。

2. 添加授权:

   • 将用户加入 Remote Desktop Users 组：

     • “计算机管理”（compmgmt.msc）→ 组 → Remote Desktop Users → 添加用户。

     • 命令行：net localgroup "Remote Desktop Users" 用户名 /add。
       命令行：net localgroup “Remote Desktop Users” 用户名 /add。

3. 启用终端服务:

   • 控制面板 → 系统 → 远程设置 → 勾选“允许远程连接到此计算机”。

   • 在服务器上，安装 RDS 角色（Server Manager → 添加角色和功能 → Remote Desktop Services）。

4. 配置终端服务器:

   • 使用“远程桌面服务配置”（tsconfig.msc，早期版本）或组策略：

     • 组策略路径：计算机配置 → 管理模板 → Windows 组件 → 远程桌面服务。

     • 设置会话限制、应用程序访问等。

5. 检查日志:

   • 事件查看器（eventvwr.msc）→ Windows 日志 → 安全 → 查看登录类型（Logon Type 10 表示远程交互式登录）。

---

实际应用场景

• 企业桌面: 用户通过终端服务器运行公司应用程序，权限由账户控制。

• 服务器共享: 多用户登录同一服务器，共享资源（如 Windows Server RDS 部署）。

• 远程管理: IT 人员以终端服务方式维护服务器。

---

注意事项

• 权限依赖账户: 登录后的权限由账户所属组决定（如 Users 或 Administrators）。

• 安全性: 启用网络级别身份验证（NLA），使用强密码，限制用户数量。

• RDS 许可: 在服务器环境中，需配置 RDS 许可证以支持多用户。

---

总结

Terminal Server User 权限是为通过终端服务（现为 RDS）远程登录设计的权限状态，通常由 Remote Desktop Users 组和 SeRemoteInteractiveLogonRight 控制。它没有独立的组定义，权限取决于登录账户身份，低于 TrustedInstaller 的系统保护级别。在现代 Windows 中，它等同于 Remote Desktop Users 的功能，适用于远程会话访问和管理场景。