05.项目五 Windows服务器远程管理

课前复习

在开始本项目之前，请先回顾上一项目中与 IIS 网站管理相关的内容。

复习问题

创建一个网站时，网站绑定通常包括哪几个要素？
什么是默认文档？如果网站根目录下存在 index.html，它通常起什么作用？
为什么网站部署完成后，还需要关注 404 错误页、日志和权限配置？

‍

项目导读

在实际工作中，管理员不一定总在服务器旁边操作。很多时候，我们需要通过网络在其他计算机上完成服务器管理工作，例如登录服务器、查看服务状态、管理用户、检查共享或进行日常维护。这类工作统称为远程管理。

本项目重点学习 Windows 服务器中最常见的远程管理方式之一：远程桌面。学习本项目后，同学们应能够看懂远程桌面的基本设置，完成常见的图形界面配置，并具备基础的排查思路。

本讲义以 Windows Server 2012 / 2016 / 2019 的常见界面为参考。不同版本的界面文字可能略有差异，但操作思路基本一致。

学习目标

维度	学习目标
知识目标	了解远程桌面（RDP）的作用，理解远程连接需要满足的基本条件
技能目标	能够通过图形界面开启远程桌面、添加允许远程登录的用户、发起远程连接，并完成基础安全配置
素养目标	树立“远程管理方便，但也必须注意安全”的意识，养成规范配置和及时检查的习惯

任务一 Windows服务器远程访问的实现

1. 认识远程桌面

远程桌面协议（RDP，Remote Desktop Protocol）是微软提供的一种远程访问方式。使用远程桌面后，管理员可以在本地计算机上看到远程计算机的桌面界面，并像操作本机一样完成管理工作。

远程桌面常见应用场景如下：

机房管理员在办公室远程维护服务器。
运维人员远程查看系统状态、磁盘、服务和日志。
技术人员远程为用户处理配置问题。

2. 远程连接前需要满足的条件

要让一台计算机能够被远程访问，通常需要满足以下条件：

条件	说明
网络可达	客户端与服务器之间网络连通，能够互相访问
远程桌面已开启	目标计算机已允许远程连接
用户有权限	登录用户属于允许远程登录的用户范围
防火墙已放行	系统防火墙允许远程桌面相关通信
服务正常	Remote Desktop Services 相关服务处于正常状态

3. 图形界面操作一：开启远程桌面

操作路径：服务器管理器 -> 本地服务器 -> 远程桌面

操作步骤：

登录 Windows Server，打开 服务器管理器。
在左侧单击 本地服务器。
在右侧属性区域找到 远程桌面，如果显示为“已禁用”或“Disabled”，单击该文字。
在弹出的“系统属性”窗口中，选择 允许远程连接到此计算机。
勾选 仅允许运行使用网络级别身份验证的远程桌面的计算机连接。
单击应用，再单击确定。

完成标志：

“远程桌面”状态由“已禁用”变为“已启用”。
系统属性“远程”选项卡中显示“允许远程连接到此计算机”。

4. 图形界面操作二：添加允许远程登录的用户

默认情况下，并不是所有普通用户都能通过远程桌面登录服务器。通常需要把用户加入 Remote Desktop Users（远程桌面用户） 组。

操作路径：计算机管理 -> 本地用户和组 -> 组 -> Remote Desktop Users

操作步骤：

右键 此电脑 或 计算机，选择管理，打开“计算机管理”。
展开 本地用户和组，单击组。
在右侧双击 Remote Desktop Users。
单击添加。
输入要允许远程登录的用户名，单击 检查名称。
名称无误后，单击确定。
再单击应用或确定，保存设置。

完成标志：

指定用户出现在 Remote Desktop Users 组成员列表中。

5. 图形界面操作三：从客户端发起远程连接

操作路径：开始菜单 -> Windows 附件 -> 远程桌面连接

也可以按 Win + R，输入 mstsc 后回车。

操作步骤：

在客户端计算机上打开 远程桌面连接。
在“计算机”框中输入服务器的 IP 地址 或 计算机名。
单击 显示选项，可以提前设置用户名、显示分辨率、本地资源等内容。
单击连接。
第一次连接时，如果系统提示证书信息，确认目标无误后可以继续连接。
输入用户名和密码，完成登录。

完成标志：

能正常看到远程计算机的登录界面。
输入正确账号后，能够进入远程桌面。

6. 课堂提示：常见连接问题

如果远程桌面无法连接，可以按下面顺序检查：

先检查目标计算机是否已经开启远程桌面。
再检查登录用户是否有远程登录权限。
然后检查防火墙是否放行远程桌面规则。
最后检查网络是否连通、IP 地址是否填写正确。

7. 拓展了解：命令方式（了解即可）

下面的命令只作为了解内容，课堂学习以图形界面操作为主。

# 开启远程桌面
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 0

# 启用远程桌面防火墙规则
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

# 将用户加入远程桌面用户组
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "testuser"

任务二 Windows远程访问的安全配置

1. 为什么远程桌面需要安全配置

远程桌面虽然方便，但如果只会“开启”，不会“加固”，就可能带来安全隐患。下面是几个常见风险：

风险点	通俗说明
默认端口易被扫描	很多系统默认使用 3389 端口，容易被发现
弱口令风险	如果密码过于简单，容易被尝试登录
权限过大	不该有远程权限的用户被加入远程登录组
防火墙规则过宽	所有来源都能访问远程桌面，风险较高
长时间不退出	会话长期不关闭，容易带来管理和安全问题

2. 图形界面操作一：启用网络级身份验证（NLA）

网络级身份验证（NLA）要求用户先通过身份验证，再建立完整远程桌面会话，安全性更高。

操作路径：服务器管理器 -> 本地服务器 -> 远程桌面 -> 系统属性

操作步骤：

按任务一中的路径进入 系统属性 - 远程。
确认已经选中 允许远程连接到此计算机。
勾选 仅允许运行使用网络级别身份验证的远程桌面的计算机连接。
单击应用，再单击确定。

完成标志：

NLA 选项保持勾选状态。

3. 图形界面操作二：检查并启用防火墙规则

操作路径：控制面板 -> Windows Defender 防火墙 -> 高级设置 -> 入站规则

操作步骤：

打开 Windows Defender 防火墙。
单击左侧 高级设置，进入“高级安全 Windows Defender 防火墙”。
单击左侧 入站规则。
在右侧规则列表中找到与 Remote Desktop 相关的规则。
查看规则是否处于 已启用 状态。
如果规则未启用，可以右键该规则，选择 启用规则。

完成标志：

Remote Desktop 相关入站规则显示为“已启用”。

4. 图形界面操作三：限制远程访问来源（课堂演示）

在实际工作中，不一定需要所有计算机都能连接服务器。更稳妥的做法是，只允许指定的管理计算机访问远程桌面。

操作路径：高级安全 Windows Defender 防火墙 -> 入站规则 -> Remote Desktop 规则 -> 属性 -> 作用域

操作步骤：

在防火墙入站规则中找到远程桌面相关规则。
右键单击规则，选择属性。
切换到 作用域 选项卡。
在“远程 IP 地址”部分，选择 下列 IP 地址。
单击添加，填写允许访问的管理主机 IP。
保存设置。

说明：

这项配置通常用于课堂演示或管理员环境。
在真实生产环境中，限制访问来源比“完全开放”更安全。

5. 图形界面操作四：设置会话超时

如果远程桌面长期无人操作却不退出，会占用系统资源，也不利于管理。可以通过本地组策略设置会话超时。

操作路径：运行 gpedit.msc -> 计算机配置 -> 管理模板 -> Windows 组件 -> 远程桌面服务 -> 远程桌面会话主机 -> 会话时间限制

操作步骤：

按 Win + R，输入 gpedit.msc，打开本地组策略编辑器。
按路径展开到 会话时间限制。
找到 为活动但空闲的远程桌面服务会话设置时间限制。
双击打开该策略。
选择 已启用，在时间中选择合适的时长，例如 30 分钟。
保存设置。

完成标志：

会话超时策略已启用，并设置了明确的时间限制。

6. 图形界面操作五：修改远程桌面端口（了解内容）

修改默认端口可以减少被随意扫描到的概率，但它并不能代替账号安全、防火墙限制等真正有效的安全措施。因此，这部分作为了解内容即可。

操作路径：运行 regedit -> 注册表编辑器

操作步骤：

按 Win + R，输入 regedit，打开注册表编辑器。
定位到：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
找到右侧的 PortNumber。
双击 PortNumber，将其修改为新的端口号。
修改后，需要同步调整防火墙规则。
客户端连接时，需要使用 IP:端口 的形式。

注意：

修改端口前，必须先确认新端口没有被其他程序占用。
修改后若忘记放行防火墙规则，可能导致远程桌面无法连接。
本项建议以课堂演示为主，不作为学生必做内容。

7. 远程管理安全小贴士

请同学们记住下面几点：

远程桌面账号应设置较强的密码，不使用简单口令。
只给确实需要远程管理的用户分配权限。
不要随意把远程桌面长期暴露在公共网络中。
远程管理完成后，及时退出会话。
定期检查系统更新和安全补丁。

8. 拓展了解：命令方式（了解即可）

# 修改远程桌面端口（示例）
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 53389 /f

# 查看远程桌面相关防火墙规则
Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*Remote Desktop*"}

任务三 Windows远程管理综合实训（独立完成）

1. 实训说明

本课时的实训以“本机检查 + 界面定位 + 故障分析”为主，不要求每位同学都具备独立服务器环境。机房环境支持还原，因此课堂中可以在老师指导下完成检查和演示操作。

如果当前账号没有管理员权限，同学们仍然可以完成以下内容：

找到对应的设置界面；
记录每一步操作路径；
观察老师演示后的结果变化；
完成故障排查单和实验记录。

2. 实训任务一：界面检查表

请同学们按下表逐项检查，并在“结果记录”栏填写 已完成、未完成 或 已观察。

检查项目	操作路径	结果记录
查看远程桌面设置	服务器管理器 -> 本地服务器 -> 远程桌面
查看 NLA 是否启用	系统属性 -> 远程
查看 Remote Desktop Users 组	计算机管理 -> 本地用户和组 -> 组
查看远程桌面服务状态	运行 services.msc -> Remote Desktop Services
查看防火墙规则	控制面板 -> Windows Defender 防火墙 -> 高级设置 -> 入站规则

3. 实训任务二：界面操作记录

请根据课堂演示或自己的操作，完成以下记录：

写出“开启远程桌面”的完整操作路径。
写出“添加远程登录用户”的完整操作路径。
写出“检查防火墙入站规则”的完整操作路径。
说明 NLA 的作用是什么。

4. 实训任务三：故障排查单

请根据所学内容，完成下表。

故障现象	可能原因	处理思路
远程桌面打不开	远程桌面未开启	先检查系统属性中的远程设置
能够看到登录界面，但无法登录	用户没有远程登录权限	检查用户是否加入 `Remote Desktop Users` 组
输入正确地址仍无法连接	防火墙未放行或网络不通	检查防火墙规则与网络连通情况
修改端口后无法连接	客户端端口填写错误，或新端口未放行	核对端口设置并检查对应规则

课堂小结

通过本项目的学习，同学们应当能够理解：

远程桌面是 Windows 服务器常见的远程管理方式；
开启远程管理不只是“能连上”，还要注意权限和安全；
遇到连接问题时，要从“设置、权限、防火墙、网络”几个方面依次排查。