dmitmal Опубликовано 20 августа, 2009 Жалоба Поделиться Опубликовано 20 августа, 2009 Здравствуйте. Есть W2K8. Поднят TS. Нужно ограничить доступ пользователям терминальных подключений. Изменения политики безопасности распространяются на все учетки, в том числе и на админа. Как сделать, чтобы обычный юзер ничего не мог настроить, а работал только с программой, которую ему прописали, и чтобы админ имел все права?? ДНС и АД не предлагать. Гуглить не помогает. Статьи только для 2003-го сервера (на 2008-м не работает). Заранее спасибо. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 20 августа, 2009 Жалоба Поделиться Опубликовано 20 августа, 2009 dmitmal: Такое впечатление, что вы сами не понимаете, чего хотите. DNS тут каким боком-то... Для доступа к терминальному серверу пользователи должны входить в группу "Пользователи удаленного рабочего стола", администратора это не касается. Все, остальные права регламентируются вхождением в соответствующие группы безопасности. Если пользователь имеет рядовые права изменить что-то в настройке он и так не сможет. По поводу "работал только с программой, которую ему прописали" все намного проще, в 2008 сервер реализована технология RemoteApp, советую с ней внимательно ознакомится. Используя ее, пользователь видит на экране не весь удаленный рабочий стол, а только активное окно приложения, благодаря чему у него создается впечатление, что он работает с программой локально. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dmitmal Опубликовано 21 августа, 2009 Автор Жалоба Поделиться Опубликовано 21 августа, 2009 Для доступа к терминальному серверу пользователи должны входить в группу "Пользователи удаленного рабочего стола", администратора это не касается. Все так и есть Все, остальные права регламентируются вхождением в соответствующие группы безопасности. Можно поподробней, где такие вещи настраиваются? Если пользователь имеет рядовые права изменить что-то в настройке он и так не сможет. Изменить-то не сможет, но вот то, что он эти настройки будет видеть, уже плохо. По поводу "работал только с программой, которую ему прописали" все намного проще, в 2008 сервер реализована технология RemoteApp, советую с ней внимательно ознакомится. Используя ее, пользователь видит на экране не весь удаленный рабочий стол, а только активное окно приложения, благодаря чему у него создается впечатление, что он работает с программой локально. Уже ознакомился и настроил. На примере программы WordPad. Пользователь выбирает File->Open; затем Desktop->Network->Open Network and Sharing Center-> Manage Network Connections. Затем просто поднимается на папку выше и вот он уже видит Control Panel, без труда заходит в Administrative Tools и видит все настройки (изменить не может, но от этого не легче). Причем пользователь относится ТОЛЬКО к группе Remote Desktop Users (без этого он просто не сможет подключиться). Все эти вещи убираются в настройках групповой политики безопасности (скрыть панель управления и т.д.), но влияют на всех пользователей (включая админов). Можно конечно все позапрещать так, что и админ толком ничего не сможет сделать. А нужно, чтоб у админа все права остались... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Aleksa106 Опубликовано 21 августа, 2009 Жалоба Поделиться Опубликовано 21 августа, 2009 Все эти вещи убираются в настройках групповой политики безопасности (скрыть панель управления и т.д.), но влияют на всех пользователей (включая админов). Можно конечно все позапрещать так, что и админ толком ничего не сможет сделать. А нужно, чтоб у админа все права остались... Так в свойствах групповой политики есть возможность настроить к какой группе/пользователю применяется политика... смотри где-то здесь: GPO Editor - Browse - Users здесь указать на кого действует политика... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dmitmal Опубликовано 24 августа, 2009 Автор Жалоба Поделиться Опубликовано 24 августа, 2009 Так в свойствах групповой политики есть возможность настроить к какой группе/пользователю применяется политика...смотри где-то здесь: GPO Editor - Browse - Users здесь указать на кого действует политика... Дело все в том, что на сервере стоит только TS, а AD и DC не подняты. И делать этого не рекомендуется. Тем более, что к этому серверу терминалов будут подключаться компы с других доменов (сложная структура). А на сколько я понял, создать объект групповой политики можно только в домене. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dmitmal Опубликовано 24 августа, 2009 Автор Жалоба Поделиться Опубликовано 24 августа, 2009 GPO Editor - Browse - Users здесь указать на кого действует политика... Нашел! Через добавление оснастки в Run->mmc. Только из списка можно добавить только одного пользователя. А как добавить группу юзеров?? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
dmitmal Опубликовано 24 августа, 2009 Автор Жалоба Поделиться Опубликовано 24 августа, 2009 Разобрался! Run -> mmc -> GPO Editor -> Browse -> Users -> выбираем Administrators или non-Administrators. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.