Windows Server 2019设置远程桌面多用户连接的实现

配置和激活“远程桌面服务”角色。默认情况下，Windows Server 允许2个管理员的并发远程会话，要支持更多用户，需要安装“远程桌面会话主机”角色并购买相应的RDS客户端访问许可证。

以下是详细的实现步骤，分为两个主要方案：

方案一：使用内置的免费管理会话（仅限2个并发管理用户）

此方案无需额外付费，适合小规模管理员团队。

启用远程桌面

• 打开 服务器管理器 > 本地服务器。
• 点击 远程桌面 设置，选择“启用”。
• 或者通过 控制面板 > 系统 > 远程设置，选择“允许远程连接到此计算机”。

配置防火墙

• 通常启用远程桌面时，Windows 防火墙会自动放行 TCP 3389 端口。请确保它没有被其他防火墙策略阻止。

添加允许远程登录的用户

• 在“远程设置”窗口中，点击 选择用户。
• 点击 添加，将需要远程登录的非管理员用户添加到列表中。

注意：此模式下，只有管理员组成员可以连接，且最多支持2个并发会话（第3个连接会踢掉前一个）。所有会话都共享服务器的计算资源。

方案二：安装完整的远程桌面服务角色（支持多用户，需要额外授权）

此方案是真正的“多用户”环境，允许多个标准用户同时登录运行各自的桌面/应用，适用于发布虚拟桌面或远程应用。

• RDS 客户端访问许可证：每个连接的用户或设备都需要一个。
• Windows Server 许可证：服务器本身需要授权。
• 在180天宽限期内配置好RD授权服务器并安装CAL。

• 这是推荐方式，它会启动一个部署向导，引导你完成标准部署。

• RD 连接代理：负责负载均衡和会话重连。
• RD Web 访问：提供基于浏览器的访问入口。
• RD 会话主机：这是核心角色，实际运行用户会话和应用程序。必须安装此项。
• RD 授权：管理和分发RDS CAL。必须配置。

• 右键点击你的服务器，选择 “激活服务器”。
• 按照向导操作，连接到微软的激活服务器（需互联网连接）。

• 在激活的服务器下，右键点击 “安装许可证”。
• 选择你购买的许可证计划（如：企业协议）、产品版本（RDS 2019 Per User 或 Per Device）、数量和许可证密钥。
• 完成后，在“RD会话主机”属性中指定此授权服务器。

用户和权限：

• 将需要远程登录的标准域用户（非管理员）添加到 “Remote Desktop Users” 本地组中。
• 计算机管理 > 本地用户和组 > 组 > Remote Desktop Users > 添加成员。

会话限制（可选但建议）：

• 打开 “远程桌面服务” > “集合”（如果创建了集合）或直接配置服务器。
• 右键点击你的会话集合或服务器，选择 “属性”。
• 在 “会话”、“常规” 等选项卡中，可以设置：
  • 单个会话的最大连接时间、空闲超时。
  • 是否允许用户只运行一个会话。
  • 重新连接已断开会话的设置。

应用发布：如果需要发布特定应用程序而非完整桌面，可以在“远程桌面服务”中创建“RemoteApp程序”，并将其发布到RD Web访问。

用户可以通过几种方式连接：

• 传统远程桌面客户端：使用 mstsc.exe，输入服务器地址。
• RD Web访问：在浏览器中输入 https://<服务器名或IP>/RDWeb，使用域凭据登录后访问发布的桌面或应用。
• 远程桌面APP：从微软商店下载“远程桌面”应用，添加工作区（RD Web访问地址）。

重要注意事项

• 使用网络级别身份验证。
• 考虑更改默认的RDP端口（3389）以降低扫描风险（需修改注册表并调整防火墙）。
• 使用防火墙限制可访问RDP端口的源IP范围。
• 启用账号锁定策略防止暴力破解。

总结流程图

启用多用户RDS：
1. 计划授权（购买RDS CAL） --> 2. 添加RDS角色（会话主机必选） --> 3. 激活并配置RD授权服务器 --> 4. 添加用户到Remote Desktop Users组 --> 5. 配置会话限制与安全策略 --> 6. 客户端通过RDP或RD Web连接

对于测试或学习环境，你可以使用方案二但暂时不激活授权，有120天的宽限期。但务必理解其中的授权要求，以避免合规风险。