Ограничение прав терминального пользователя
14850
11
Washburn
experienced
Есть Windows 2003 Server, который является контроллером домена и терминальным сервером. Знаю, что это нехорошо, но пока вот так - в будущем перенесем.
Есть удаленная сеть, в которой все компы состоят в домене (через VPN).
Задача, общем-то, похоже типовая и гуглится хорошо. Но туплю в одном моменте. Требуется настроить доступ к серверу терминалов так, чтобы пользователи запускали только одно приложение, были максимально ограничены в правах и не могли более делать ничего.
Что я сделал: создал в домене OU, в который запихнул группу "Удаленный офис", которая, в свою очередь, является членом группы "Пользователи удаленного рабочего стола".
Начинаю через GPO настраивать права для данной группы и сталкиваюсь с тем, что в рамках данной GPO все настройки применяются не только к удаленному рабочему столу, но локально к компьютеру или к профилю пользователя, входящего в домен. То есть включая свой комп, он не видит значков на рабочем столе и т.д. и т.п.
Где я не прав и как это можно разрулить?
Есть удаленная сеть, в которой все компы состоят в домене (через VPN).
Задача, общем-то, похоже типовая и гуглится хорошо. Но туплю в одном моменте. Требуется настроить доступ к серверу терминалов так, чтобы пользователи запускали только одно приложение, были максимально ограничены в правах и не могли более делать ничего.
Что я сделал: создал в домене OU, в который запихнул группу "Удаленный офис", которая, в свою очередь, является членом группы "Пользователи удаленного рабочего стола".
Начинаю через GPO настраивать права для данной группы и сталкиваюсь с тем, что в рамках данной GPO все настройки применяются не только к удаленному рабочему столу, но локально к компьютеру или к профилю пользователя, входящего в домен. То есть включая свой комп, он не видит значков на рабочем столе и т.д. и т.п.
Где я не прав и как это можно разрулить?
Попробуй не через групповые политики а через локальные на самом контроллере, в локальных политиках тоже есть ограничение использования прогграм.
Если нужно, чтобы при входе на терминальный сервер пользователь выполнял одну программу, то для этого в свойствах пользователя существует вкладка "Среда", где прописывается, какую программу запускать при логоне на терминальном сервере. При закрытии данной программы, пользователь автоматически отлогиневается от сервера.
В принципе, в другом месте уже подсказали - через WMI-фильтры в политике пожно сделать вот так:
SELECT * FROM Win32_OperatingSystem WHERE ProductType>1 - по этому фильтру политика будет выполняться только на серверной ОС, если =1 - на клиентской.
Соответственно, можно прописать 2 политики - одну для локальной машины, вторую для RDP.
SELECT * FROM Win32_OperatingSystem WHERE ProductType>1 - по этому фильтру политика будет выполняться только на серверной ОС, если =1 - на клиентской.
Соответственно, можно прописать 2 политики - одну для локальной машины, вторую для RDP.
Там беда в том, что основное меню этой программы в трее находится, и при завершении работы "выход" нужно выбрать из него (иначе нехорошо получается). А если сделать так, то трей грузиться не будет.
В принципе, у MS есть хорошая статья под названием KB278295 "Блокировка сеанса службы терминалов в Windows Server 2003 или Windows 2000", там все расписано очень хорошо.
Единственное, чего добиться не удалось - убрать подменю "Программы" из меню "Пуск".
Можно ли при помощи GPO как-то обрезать его?
И еще вопрос по терминальным службам - лицензии у меня "на устройство". Поигрался я с парой машин, когда настраивал, а лицензии сервер им выдал, хотя не надо бы (ну просто во время настройки разное пробовал, не для работы, для интереса).
Можно ли как-то обнулить выданные сервером лицензии?
В принципе, у MS есть хорошая статья под названием KB278295 "Блокировка сеанса службы терминалов в Windows Server 2003 или Windows 2000", там все расписано очень хорошо.
Единственное, чего добиться не удалось - убрать подменю "Программы" из меню "Пуск".
Можно ли при помощи GPO как-то обрезать его?
И еще вопрос по терминальным службам - лицензии у меня "на устройство". Поигрался я с парой машин, когда настраивал, а лицензии сервер им выдал, хотя не надо бы (ну просто во время настройки разное пробовал, не для работы, для интереса).
Можно ли как-то обнулить выданные сервером лицензии?
Сам не пробовал, но: Конфигурация пользователя-административные шаблоны-панель задач и меню "Пуск"-удалить список всех программ в меню "Пуск" - не оно?
Попробовал. Не оно. Этот параметр скрывает пунк "Все программы" в меню пуск в виде ХР. В классическом виде (2000) - не скрывает.
Сейчас читают
Лодочные базы Новосибирска
48002
57
Льготная стерилизация
226753
139
Каждый первый гений....
10524
80
Как вариант: включить "Скрывать общие группы программ в меню "Пуск"", "Удалить контекстные меню перетаскивания для элементов меню меню "Пуск"", "Запретить доступ к контекстному меню для панели задач" и "Форсировать классическое меню "Пуск"". Далее в пользовательском меню "Программы" оставить ярлыки только на те программы, которые пользователь должен запускать, находясь в терминальной сессии.
Разрешить пользователю запускать только одну конуретную программу, через политики.
и пусть себе смотрит на "все программы" сколько угодно.
и пусть себе смотрит на "все программы" сколько угодно.
Более-менее удалось, в общем-то. Всем спасибо.
Щас вот с принтером в терминале воюю.
Щас вот с принтером в терминале воюю.
Щас вот с принтером в терминале воюю.лучше всего использовать сразу сетевые принтеры... или на крайняк поставить принт-серверы (правда не ко всем принтерам это подходит)