dmitmal Опубликовано 20 августа, 2009 Жалоба Поделиться Опубликовано 20 августа, 2009 Здравствуйте. Есть W2K8. Поднят TS. Нужно ограничить доступ пользователям терминальных подключений. Изменения политики безопасности распространяются на все учетки, в том числе и на админа. Как сделать, чтобы обычный юзер ничего не мог настроить, а работал только с программой, которую ему прописали, и чтобы админ имел все права?? ДНС и АД не предлагать. Гуглить не помогает. Статьи только для 2003-го сервера (на 2008-м не работает). Заранее спасибо. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 20 августа, 2009 Жалоба Поделиться Опубликовано 20 августа, 2009 dmitmal: Такое впечатление, что вы сами не понимаете, чего хотите. DNS тут каким боком-то... Для доступа к терминальному серверу пользователи должны входить в группу "Пользователи удаленного рабочего стола", администратора это не касается. Все, остальные права регламентируются вхождением в соответствующие группы безопасности. Если пользователь имеет рядовые права изменить что-то в настройке он и так не сможет. По поводу "работал только с программой, которую ему прописали" все намного проще, в 2008 сервер реализована технология RemoteApp, советую с ней внимательно ознакомится. Используя ее, пользователь видит на экране не весь удаленный рабочий стол, а только активное окно приложения, благодаря чему у него создается впечатление, что он работает с программой локально. Ссылка на комментарий Поделиться на другие сайты Поделиться
dmitmal Опубликовано 21 августа, 2009 Автор Жалоба Поделиться Опубликовано 21 августа, 2009 Для доступа к терминальному серверу пользователи должны входить в группу "Пользователи удаленного рабочего стола", администратора это не касается. Все так и есть Все, остальные права регламентируются вхождением в соответствующие группы безопасности. Можно поподробней, где такие вещи настраиваются? Если пользователь имеет рядовые права изменить что-то в настройке он и так не сможет. Изменить-то не сможет, но вот то, что он эти настройки будет видеть, уже плохо. По поводу "работал только с программой, которую ему прописали" все намного проще, в 2008 сервер реализована технология RemoteApp, советую с ней внимательно ознакомится. Используя ее, пользователь видит на экране не весь удаленный рабочий стол, а только активное окно приложения, благодаря чему у него создается впечатление, что он работает с программой локально. Уже ознакомился и настроил. На примере программы WordPad. Пользователь выбирает File->Open; затем Desktop->Network->Open Network and Sharing Center-> Manage Network Connections. Затем просто поднимается на папку выше и вот он уже видит Control Panel, без труда заходит в Administrative Tools и видит все настройки (изменить не может, но от этого не легче). Причем пользователь относится ТОЛЬКО к группе Remote Desktop Users (без этого он просто не сможет подключиться). Все эти вещи убираются в настройках групповой политики безопасности (скрыть панель управления и т.д.), но влияют на всех пользователей (включая админов). Можно конечно все позапрещать так, что и админ толком ничего не сможет сделать. А нужно, чтоб у админа все права остались... Ссылка на комментарий Поделиться на другие сайты Поделиться
Aleksa106 Опубликовано 21 августа, 2009 Жалоба Поделиться Опубликовано 21 августа, 2009 Все эти вещи убираются в настройках групповой политики безопасности (скрыть панель управления и т.д.), но влияют на всех пользователей (включая админов). Можно конечно все позапрещать так, что и админ толком ничего не сможет сделать. А нужно, чтоб у админа все права остались... Так в свойствах групповой политики есть возможность настроить к какой группе/пользователю применяется политика... смотри где-то здесь: GPO Editor - Browse - Users здесь указать на кого действует политика... Ссылка на комментарий Поделиться на другие сайты Поделиться
dmitmal Опубликовано 24 августа, 2009 Автор Жалоба Поделиться Опубликовано 24 августа, 2009 Так в свойствах групповой политики есть возможность настроить к какой группе/пользователю применяется политика...смотри где-то здесь: GPO Editor - Browse - Users здесь указать на кого действует политика... Дело все в том, что на сервере стоит только TS, а AD и DC не подняты. И делать этого не рекомендуется. Тем более, что к этому серверу терминалов будут подключаться компы с других доменов (сложная структура). А на сколько я понял, создать объект групповой политики можно только в домене. Ссылка на комментарий Поделиться на другие сайты Поделиться
dmitmal Опубликовано 24 августа, 2009 Автор Жалоба Поделиться Опубликовано 24 августа, 2009 GPO Editor - Browse - Users здесь указать на кого действует политика... Нашел! Через добавление оснастки в Run->mmc. Только из списка можно добавить только одного пользователя. А как добавить группу юзеров?? Ссылка на комментарий Поделиться на другие сайты Поделиться
dmitmal Опубликовано 24 августа, 2009 Автор Жалоба Поделиться Опубликовано 24 августа, 2009 Разобрался! Run -> mmc -> GPO Editor -> Browse -> Users -> выбираем Administrators или non-Administrators. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти