远程桌面与终端服务的区别和联系以及修改他们的端口

远程桌面与终端服务的区别和联系以及修改他们的端口
　　
　　首先我们来看看相同点，他们都是windows系统的组件，都是由微软公司开发的。通过这两个组件可以实现用户在网络的另一端控制服务器的功能，操作服务器，运行程序就好象操纵自己本地计算机一样简单，速度方面也非常快。
　　
　　不过这两个组件的区别也是非常明显的。
　　
　　（1）远程终端服务允许多个客户端同时登录服务器，不管是设备授权还是用户授权都需要CAL客户访问授权证书，这个证书是需要向微软公司购买的；而远程桌面管理只是提供给操作员和管理员一个图形化远程进入服务器进行管理的界面（从界面上看和远程终端服务一样的），远程桌面是不需要CAL许可证书的。
　　
　　（2）远程桌面是完全免费的，而终端服务只有120天的使用期，超过这个免费使用期就需要购买许可证了。
　　
　　（3）远程桌面最多只允许两个管理员登陆的进程，而终端服务没有限制，只要你购买了足够的许可证想多少个用户同时登录一台服务器都是可以的。
　　
　　（4）远程桌面只能容许管理员权限的用户登录，而终端服务则没有这个限制，什么样权限的用户都可以通过终端服务远程控制服务器，只不过登录后权限还是和自己的权限一致而已。
　　
　　总结：明白了远程桌面和终端服务的开启方法和相同与不同后我们就需要根据公司的实际需求进行选择了。可能有的读者会说既然远程桌面是免费的，终端服务需要购买许可证，干脆都用远程桌面不就完了吗？实际上在区别的第四点中已经介绍了，远程桌面只能让管理员权限的用户使用，一般权限的帐户无法登录。而终端访问则没有这个限制；而且远程桌面只能容许同时2人登录操作服务器，终端访问也没有这个限制。这两点区别决定了当服务器需要同时超过2人以及需要非管理员权限的用户管理时必须使用终端服务。

---------------------------------------------------------------------------
Windows 2003的远程桌面的默认端口为3389，但为了安全有时可对其进行更改。

一.在服务器的注册表上做如下修改。
KEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/ Control/Terminal Server/Wds/rdpwd/Tds/tcp
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp
都有一个PortNumber值，通常为3389，将其修改为自己的值，如19191(可自己指定端口，但最好不要设为低端端口，以免冲突)；
　　
二.重新启动服务器。

三.客户端连接办法 　
输入主机地址，后面跟端口号，例如: 202.100.4.15:19191

---------------------------------------------------------------------------
开启Windows 2003远程桌面连接服务的方法

1、HKLM/SYSTEM/CurrentControlSet/Control/Terminal Server/fDenyTSConnections将其值改为0。（其实就是右键点击“我的电脑”选属性里的高级后就有直接勾选的）

2、打开组策略（运行gpedit.msc)→计算机配置→管理模板→Windows组件→终端服务下面的允许用户使用终端服务远程连接，设置为已启用。（有上面一步这里就可以不用了吧，不过如果做了上一步还无法连接，就要复查一下这里了）

3、打开服务管理（运行services.msc），找到Terminal Services，打开其属性窗口，在常规选项卡中，将其启动类型设置为自动，然后点启动即可。（其实此服务不仅为远程桌面提供服务，还为远程终端、防火墙提供服务）

---------------------------------------------------------------------------
Terminal Service的日志功能

在管理工具中打开远程控制服务配置(Terminal Service Configration)，点击“连接”，右击你想配置的RDP服务，选中书签“权限”，点击左下角的“高级”，看见上面那个“审核”了吗？我们来加入一个Everyone组，这代表所有的用户，然后审核他的“连接”、“断开”、“注销”的成功和“登陆”的功能和失败就足够了，审核太多了反而不好，这个审核试记录在安全日志中的，可以从“管理工具”－>“日志查看器”－>“审核”中查看。

现在什么人什么时候登陆都一清二楚了，可是它却不记录客户端的IP(只能查看在线用户的ip)而是记录计算机名，我们可以建立一个.bat文件，叫做TSLog.bat，这个文件用来记录登录者的ip，内容如下：
time /t>>TSLog.log
netstat -n -p tcp|find ":3389">>TSLog.log
start Explorer

下面来解释一下这个文件的含义：
第一行是记录用户登陆的时间，Time/t的意思是直接返回系统时间(如果不加/t，系统会等待你输入新的时间)，然后我们用追加符号把这个时间记入TSLog.log
第二行是记录用户的ip地址，Netstat是用来显示当前网络连接状况的命令，-n表示显緄p和端口而不是域名、协议，-p tcp是只显示tcp协议，然后我们用管道符号“|”把这个命令的结果输出给Find命令，从输出结果中查找包含“：3389”的行(这就是我们要得客户的ip所在行，如果你改了终端服务的端口，这个数值也要作相应的改变)，最后我们同样把这个结果重定向到日志文件TSLog.log中。

也就是说只要这个TSLog.bat文件一运行，所有连在3389端口的ip都会被记录，那么如何让这个批处理文件运行呢？我们知道终端服务允许我们为用户自定义起始的程序，在终端服务配置中，我们覆盖用户的登陆脚本设置并指定TSLog.bat为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认得脚本(相当于SHELL环境)是Explorer(资源管理器)，所以我在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer，如果不加这一行命令，用户是没有办法进入桌面的。当然，如果你只需要给用户特定的SHELL。

这个脚本也可以有其他的写法，例如写一个脚本把每个登陆用户的ip发送到自己的信箱对于很重要的服务器也是一个很好的方法。正常情况下，一般的用户没有查看终端服务设置的权限，所以他不会知道你对登陆进行了ip审核，只要把TSLog.bat文件和TSLog.log 文件放在比较隐蔽的目录里就足够了，不过需要注意的是这只是一个简单的终端服务日志攻略，并没有太多的安全保障措施和权限机制 ，如果服务器有更高的安全要求，那还是需要通过编程后购买入侵检测 软件来完成。