一般来说，当我们要建立Terminal Service的时候，就会通过设置一些组策略来限制用户在服务器中可以进行的操作，以提高服务器的安全性。其中，组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以很方便地设置各种软件、计算机和用户策略。例如，可使用"组策略"从桌面删除图标、自定义"开始"菜单并简化"控制面板"。此外还可添加在计算机上运行的脚本，甚至可配置Internet Explorer。组策略是以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定组策略界面图用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及"开始"菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。

在Windows Server 2003中，虽然微软已经给我们提供了很多的策略，但仍然可以感觉到这些策略不够细致。在Windows Server 2008中，Terminal Service的组策略再一次得到了细化。下面就让我们从实战的角度来分析一下Terminal Service 2008组策略的一些新特性。

在Windows Server 2008中，Terminal Service组策略在类别以及功能结构上进行了细化，并且按照客户端，服务器和序列号，把整个组策略划分为三大部分:Remote Desktop Connection Client; Terminal Server; TS License。

第一部分是对RDT客户端的管理。在Windows Server 2008中，Terminal Service引入了RemoteApp Programs程序，在安全性方面，除了在Windows Server2003中已经出现的"是否允许在客户端保存密码"和对客户端的登陆验证策略之外，更加强调了它的安全性管理，"Allow .rdp files from valid publishers and user's default .rdp setting"， "Allow .rdp files from Unknown publishers"和"Specify SHA1 thunmbprints of certificates representing trusted .rdp Publishers。此外，Windows Server 2008通过远程桌面服务远程访问的程序，它们看起来像是运行在最终用户的本地计算机上一样。在Windows Server 2008中，远程桌面服务向管理员提供分组和个性化RemoteApp Programs以及虚拟桌面的能力，使最终用户在运行计算机的"开始"菜单上可以使用它们。

用户可以使用新的 RemoteApp 和桌面连接通知区域图标执行以下任务：

识别它们与 RemoteApp 和桌面连接连接的时间。

如果不再需要该连接，从 RemoteApp 和桌面连接断开连接。

管理员可以创建客户端配置文件 (.wcx)，并将其分发给组织中的用户，以便用户可以自动配置 RemoteApp 和桌面连接。管理员还可以编写和分发脚本来自动运行客户端配置文件，这样当用户登录到 Windows 7 计算机上的帐户时，将自动设置 RemoteApp 和桌面连接。

第二部分是对TS服务器的管理。在做评述之前，我们可以先从结构上，对Windows Server2003和Windows Server2008中的组策略做一个对比。

在Windows Server2003的系统中，因为分类不清晰，当我们需要实施一条新的组策略时，我们要在根目录下逐条寻找策略，这就无形之中就增加了实施的时间成本。相对而言，在Windows Server2008中Terminal Server的组策略设置具有了类别化，系统管理员更加容易从这些类别目录中找到自己所需要的策略。

"Connections"：在Windows Server2008系统中，所有关于网络连接的策略都被放至于此类别当中，而在之前的Windows Server2003 当中，此类别的项目是被放置于Terminal Service的根目录下的。
　　
"Device and Resource Redirection"：与Windows Server2003系统不同的是将"Client/Server data redirection"中关于打印机的部分独立了出来，并重新建立了一个类别目录"Printer Redirection"，在稍后的部分里面，会有独立的关于"Printer Redirection"的分析。"Device and Resource Redirection"中其他的策略与Windows Server2003中的相同。

"Licensing"：在Windows Server2008中，"Licensing"目录下的内容与Windows Server2003中的完全不同。主要作用是管理本地Terminal Server的序列号使用状况，它的内容也从Terminal Service根目录下移到了Licensing目录下，并增加了"Hide notification..."。

"Printer Redirection"：如我们前面所提到的，在Windows Server2008中，关于打印机重定向问题被细化和重新分类，在新的打印机策略中，可以对我们重定向到 Terminal Server的打印机进行更好的管理，避免了我们在Terminal Server上遇到的众多打印机问题，

"Profiles"：在Windows Server2008中，Profiles相关的策略被重新归类，从Terminal Service的根目录下移到了Profiles下。

"Remote Session Environment"：在Windows Server2008中，有5条策略被从Terminal Service根目录下转移到新的目录，并添加了两条新的策略。

"Security"：作为Windows Server2008中全新出现的一组策略，涉及到与Windows Server2003非常多的不同，除了在Windows Server2003出现的三条之外，另外还增加了四条新的策略。其中一条就是令很多Windows XP用户非常头疼的"Network Level Authentication"，在默认的策略解释中，此项策略是被Disable的，也就是说Windows XP用户可以在不启用NLA策略的情况下正常连接到Windows Server2008的Terminal Server。实际情况是，在RC1的版本中，此项策略默认情况下是被Enable的，也就是说如果不更改组策略，将没有任何Windows XP用户可以连接到Windows Server2008的Terminal Server。

"Session Time Limits"：对应Windows Server2003的"Session"一项，同时因为RemoteAPP的缘故，新增加 了对RemoteAPP的限制。

"Temporary folder"：在Windows Server2008中与Windows Server2003中完全相同

"TS Session Broker"：在Windows Server2008中，很多Windows Server2003中的名称被重新定义了，如"Session Directory"更改为"Session Broker"；"Session Directory Cluster Name"更改为"Session Broker farm name"等等，同时增加了对负载均衡的管理。

第三部分，也是最后一部分，对TS Licensing的管理。对于这一部分Windows Server2008和Windows Server2003是没有区别的，所以不再赘述。

以上是本人就个人使用体会对Windows Server 2008 Terminal Service组策略的浅析。希望在以后的工作中，随着对Windows Server 2008更加深入的了解，以及新版本的发布，争取对其中的组策略进行更加详细的分析。同时，由于以上分析写于2008 RC1版本发行的时候，所有内容均以RC1版本为准。因为还没有拿到过正式版，故正式版中的改变，不在本文的讨论中。