Терминальный сервер #1 Ограничение прав пользователей
В одном из прошлых видео мы рассматривали процесс поднятия роли сервера терминалов.
В этом же уроке предлагаю более детально рассмотреть процесс ограничения прав пользователя на терминальном сервере. Да, по умолчанию он лишен административных прав и много чего не может, однако, все равно к этому вопросу нужно отнестись более внимательно, так как пользователь все же находится на самом главном устройстве в вашей компании.
Регистрируйся на следующий вебинар по системному администрированию!
Так что стоит детально проанализировать, что пользователю делать можно, а что нет.
По сути тут может быть две ситуации, когда терминальный сервер реализован в рамках доменной сети, и все пользователи хранятся на контроллере домена. И в ситуации, когда сеть одноранговая и учетками, под которыми будут подключаться пользователи к терминальному серверу, мы управляем непосредственно на терминальном сервере.
Установка и удаление программ групповыми политиками Windows Server 2016
Как правило такая схема подходит для небольших компаний, у которых какая-то служба реализована на терминальном сервере, допустим 1С.
Все это я более подробно рассказывал и показывал в видео по настройке терминального сервера! Для тех, кто его не видел, я оставлю ссылку к данному видео. И если вы не понимаете, о чем речь, то для начала посмотрите его.
И так, когда мы попадаем на сервер под учеткой обычного терминального пользователя, мы не можем установить софт, однако, нам доступно довольно много различных возможностей:
— доступ к системным дискам
— можно запускать приложения, которые могут не относиться к работе пользователя
— запустить диспетчер серверов
— доступ к элементам панели управления
— доступ к диспетчеру задач
— доступ к командной строке
Давайте приступим к устранению этих недостатков.
Скажу сразу, что все что я буду показывать, это скорее базовые ограничения пользователей, которые нужно выполнить в первую очередь. Однако, на практике бывает множество различных дополнительных ограничивающих политик, так что буду очень рад, если вы в комментариях также поделитесь своим опытом из разряда, что запретили, зачем и как. Таким образом можно будет составить более развернутую картину, ну и записать вторую, а может быть и третью часть данного видео.
Думаю, что нам это вполне по силам 😉 Так как тема действительно интересная и меня уже не один раз расспрашивали по поводу ограничивающих политик.
1) Доступ к жестким дискам сервера
Запретить доступ к данным системных дисков можно через групповую политику, но, если мы попытаемся её изменить через Выполнить gpedit.msc то мы изменим групповую политику для всех пользователей на данном сервере, так что изменения затронут как терминальных пользователей, так и административные учетные записи.
А нам нужно ограничить в правах именно учетные записи, которые не имеют административные права на сервере. Для этого запустим редактор групповой политики через консоль (Выполнить mmc Файл Добавить Редактор объектов групповой политики Обзор Пользователи Не администраторы ОК Готово ОК) При желании таким образом можно настроить политики для отдельных пользователей.
Конфигурация пользователя Административные шаблоны Компоненты Windows Проводник Запретить доступ к дискам через Мой компьютер Включена Выполнить cmd gpupdate /force
Входим на сервер под удаленным пользователем и при попытке получить доступ к диску выдается сообщение «Операция отменена из-за ограничений, действующих на этом компьютере»
Причем у вас не получится не просто получить доступ к корню диска, а к любой папке через проводник (Рабочий стол, Загрузки и т.д. Даже если на рабочем столе создать папку и зайти в неё) В общем, везде где есть путь к расположению файла.
Однако, через файловые менеджеры, например тотал коммандер получить доступ к файлам можно. Или через командную строку
Поэтому, более тонко можно настроить через редактирование NTFS прав на файлы и папки (Диск D ПКМ Свойства Безопасность Удалить Все и Пользователи Добавить к нужной папке пользователя в права, как правило это папка с базой данных и т.д.
Тут уже через файловый менеджер не получится открыть диск и файлы.
Если какая-то нужная папка, то можно разместить ярлык на рабочем столе, где будет фактический путь и поместить в папку для всех пользователей (C:UsersPublicDesktop Разрешить отображение скрытых файлов и папок Копировать туда ярлык с папкой и у всех удаленных пользователей появится на рабочем столе эта папка)
Так же от сюда можно убрать различные приложения, которые могут мешать пользователю и засорять его рабочий стол.
2) Запрет запуска приложений (Административные шаблоны Система Не запускать указанные приложения Windows TOTALCMD.EXE)
3) Запретить элементы панели управления (Административные шаблоны Панель управления Запретить доступ к панели управления и параметрам компьютера)
4) Запретить диспетчер серверов (Административные шаблоны Система Не запускать указанные приложения Windows ServerManager.exe)
5) Запретить диспетчер задач (Административные шаблоны Система Варианты действий после нажатия CTRL+ALT+DEL Удалить диспетчер задач Включено)
6) Запрет командной строки (Административные шаблоны Система Запретить использование командной строки)
Удобная штука, чтобы убрать какие-то ограничения, можно не искать где вы их прописали, а перейти во все параметры, сортировка по состоянию и быстро узнать какие параметры включены.
Пишите в комментариях или мне в личку свои заметки по различным ограничениям, которые внедряете на практике. Как будет достаточно интересных дополнений, выпущу вторую часть 😉
Источник: sys-team-admin.ru
Терминальный сервер на Windows Server 2012 в рабочей группе
Вы еще не знакомы с Windows Server 2012? Мне вот уже «посчастливилось» настраивать на нем терминальный сервер. Честно говоря, совершенно не понятно зачем было пихать новый ленточный интерфейс в сервер — логика Microsoft последнее время не поддается объяснению.
Но это не самое страшное. Отныне, для установки роли терминального сервера необходимо поднимать домен. Вот такого сюрприза я не ожидал. домен мне не нужен в принципе. Настройка домена занимает не много времени, но зачем плодить сущности там, где они не нужны.
Однако всё оказалось решаемо, пусть и с некоторыми дополнительными действиями, о которых узнал c technet.microsoft.com.
Настраиваем роль терминального сервера на WinServer 2012 без поднятия домена
Принципиальных отличий в установке Windows Server 2012 от Windows Server 2008 R2 нет, потому этот этап пропустим. Замечу, что операционная система прекрасно ставится с флешки, на которую был записан образ (давно уже не использую CD/DVD — медленно и нудно). Перейдем непосредственно к установке роли RDS на сервере.
Для этого запустим Диспетчер серверов (Server Manager), и перейдем в поле Локальный сервер (Local Server)
Далее запускаем мастер добавления ролей и компонентов, где выбираем тип установки Установка ролей или компонентов (Role-based or feature-based installation)
Производить установку всех компонент роли RDS можно сразу, но на Technet, для лучшего понимания процесса, советуют разделить этот процесс на два этапа. Последуем этому совету и мы.
Первой установим компоненту Лицензирование удаленных рабочих столов (Remote Desktop Licensing)
После завершения процесса, запускаем Диспетчер лицензирования удаленных рабочих столов (RD Licensing Manager), в котором активируем наш сервер лицензий и устанавливаем пакет терминальных лицензий (например: Windows Server 2012 — RDS Per User CAL, 5 шт.).
Никаких новшеств здесь нет, а потому описывать подробно данный процесс не стану (возможно раскрою тему в одной из будущих статей — жду ваших предложений и комментариев).
Весь процесс активации и установки пакета лицензий на себя берет мастер, наша задача правильно выбрать программу лицензирования, тип лицензий, количество и т.д.
Вторым этапом устанавливаем компоненту Узел сеансов удаленных рабочих столов (Remote Desktop Session Host).
После установки этой компоненты у нас появится Средство диагностики лицензирования удаленных рабочих столов (RD Licensing Diagnoser), которое сообщит нам ошибку об отсутствии сервера, раздающего терминальные лицензии (скриншота с ошибкой к сожалению не сделал, приведен уже работающий вариант сервера).
Стоит заметить, что в оснастке отсутствуют инструменты управления, которые были в Windows Server 2008 R2, т.е. возможности добавления сервера лицензий нет.
Настраиваем локальные политики для серверов находящихся в рабочей группе
Осталось самое интересное. Исправить данную ситуация не сложно — достаточно настроить всего две локальные политики. В строке терминала пишем gpedit.msc и изменяем соответствующие ключи.
Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовЛицензирование — Использовать указанные серверы лицензирования удаленных рабочих столов (добавляем имя нашего сервера)
Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовЛицензирование — Задать режим лицензирования удаленных рабочих столов (выбираем тип лицензий)
Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostLicensing — Use the specified Remote Desktop license servers (добавляем имя нашего сервера)
Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostLicensing — Set the Remote licensing mode (выбираем тип лицензий)
Установка компоненты — Remote Desktop Web Access
Если, в качестве клиента требуется использовать браузер, устанавливаем дополнительную компоненту Remote Desktop Web Access. Тутвообще все просто, нужно лишь разрешить мастеру добавить то, что он хочет, в частности IIS. После окончания установки, на клиентской машине в браузере сервер должен ответить и показать страницу Remote Web Access.
Обратиться к серверу терминалов через браузер можно по адресу https://ip/rdweb
Подписывайтесь на канал
Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.
Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.
Комментариев: 81
У меня не выдавалось подобных сообщений.
сообщит нам ошибку об отсутствии сервера, раздающего терминальные лицензии (скриншота с ошибкой к сожалению не сделал
Источник: mdex-nn.ru
Как установить программы по умолчанию для всех пользователей на сервере терминалов Windows Server 2008?
Я хочу установить стандартную почтовую программу (в том числе .eml-файлы, MAILTO и Mapi) для всех пользователей Windows Terminal Server 2008. Мне сказали, что «свойства групповой политики» могут сделать что-то подобное.
задан sascha
14.04.2023 17:43 3400
1 ответ
Это зависит от программы. Общую процедуру интеграции программ в сервер терминалов можно найти здесь.
неофициальный метод для входа в систему в качестве администратора сервера, перейдите в Свойства обозревателя и поставить там почтовый клиент. Это изменяет параметр реестра в HKEY_LOCAL_MACHINESoftwareClientsMail и изменения наследуются всеми пользователями.
отвечен surfasb 2023-04-16 01:31
Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]
Ваш ответ
Опубликуйте как Гость или авторизуйтесь
Опубликовать ответ
Похожие вопросы про тегам:
windows-server-2008-r2
- Как я могу убедиться, что пользователи выходят из сеансов удаленного рабочего стола вместо того, чтобы просто закрыть окно RDP?
- Почему не используется файл подкачки?
- Удаление IIS из Win Server 2012 R2
Недавние вопросы
- 7 Какое максимальное количество разделов можно создать на жестком диске?
- 3 Таблица прилипает к верхней части страницы, как ее удалить?
- 6 При двусторонней печати как исправить, что задняя страница печатается вверх ногами?
- 4 Как превратить оглавление в простой форматированный текст?
- 5 Что значит 1Rx8 и 2Rx8 для оперативной памяти и совместимы ли они?
- 10 Копирование и вставка в Windows PowerShell
- 13 Сочетание клавиш для сворачивания удаленного рабочего стола
- 1 Как включить фон рабочего стола на удаленном компьютере?
- 5 Как сделать ярлык на рабочем столе доступным для всех пользователей в Windows 10
- 1 Зачем Windows 10 нужна служба очереди сообщений и почему она установлена по умолчанию?
Недавние публикации
Наушники Wireless и True Wireless: чем они отличаются?- Не включается iPad: причины и решения проблемы
- Как ускорить передачу данных по Bluetooth
- Как правильно приобрести подержанный iPhone?
- Каковы преимущества фотоэлектрической системы?
- 5 лучших USB–пылесосов для клавиатуры
- Как выбрать чехол-аккумулятор для смартфона
- Мобильный телефон Razr: новая складная раскладушка от Motorola стоит 1200 евро
- Компания Nothing: смартфон Phone 2 должен быть «более премиальным» и выйти в этом году
- UMTS — История технологии сотовой связи
- Выбор домена
- 3D-печать: будущее массового производства
- Искусственный интеллект в малом бизнесе: как улучшить эффективность и конкурентоспособность
- Ошибки, которых стоит избегать при продвижении сайта
- Высокие технологии в Windows: что это такое и как их использовать в своих приложениях
- Широкий выбор смартфонов в Митино
- Кошка – радость в доме
Акции IT-компаний [04.06]
| Apple | $173,24 | +0,81% |  |
| Amazon | $114,49 | -1,94% |  |
| Microsoft | $325,19 | +3,61% | |
| $123,44 | +2,11% | |
|
| Netflix | $364,74 | -0,03% | |
| Intel | $27,45 | -5,34% | |
| $254,49 | +2,11% | |
|
| Tesla | $185,54 | +1,44% | |
| Tencent | $322,40 | -3,01% | |
Цитата дня
Сложнее всего начать действовать, все остальное зависит только от упорства.
- Какое максимальное количество разделов можно создать на жестком диске?
- Таблица прилипает к верхней части страницы, как ее удалить?
- При двусторонней печати как исправить, что задняя страница печатается вверх ногами?
- Как превратить оглавление в простой форматированный текст?
Источник: kompsekret.ru