Jump to content
СофтФорум - всё о компьютерах и не только

[решено] Windows 2008 и TS

dmitmal

By dmitmal
in Серверные ОС

 Share

Recommended Posts

dmitmal

dmitmal

Posted
Posted

Здравствуйте.

Есть W2K8. Поднят TS. Нужно ограничить доступ пользователям терминальных подключений. Изменения политики безопасности распространяются на все учетки, в том числе и на админа. Как сделать, чтобы обычный юзер ничего не мог настроить, а работал только с программой, которую ему прописали, и чтобы админ имел все права?? ДНС и АД не предлагать. Гуглить не помогает. Статьи только для 2003-го сервера (на 2008-м не работает). Заранее спасибо.

Link to comment
Share on other sites
Maikll

Maikll

Posted
Posted

dmitmal: Такое впечатление, что вы сами не понимаете, чего хотите. DNS тут каким боком-то...

Для доступа к терминальному серверу пользователи должны входить в группу "Пользователи удаленного рабочего стола", администратора это не касается. Все, остальные права регламентируются вхождением в соответствующие группы безопасности. Если пользователь имеет рядовые права изменить что-то в настройке он и так не сможет.

По поводу "работал только с программой, которую ему прописали" все намного проще, в 2008 сервер реализована технология RemoteApp, советую с ней внимательно ознакомится. Используя ее, пользователь видит на экране не весь удаленный рабочий стол, а только активное окно приложения, благодаря чему у него создается впечатление, что он работает с программой локально.

Link to comment
Share on other sites
dmitmal

dmitmal

Posted
  • Author
Posted
Для доступа к терминальному серверу пользователи должны входить в группу "Пользователи удаленного рабочего стола", администратора это не касается.

Все так и есть

Все, остальные права регламентируются вхождением в соответствующие группы безопасности.

Можно поподробней, где такие вещи настраиваются?

Если пользователь имеет рядовые права изменить что-то в настройке он и так не сможет.

Изменить-то не сможет, но вот то, что он эти настройки будет видеть, уже плохо.

По поводу "работал только с программой, которую ему прописали" все намного проще, в 2008 сервер реализована технология RemoteApp, советую с ней внимательно ознакомится. Используя ее, пользователь видит на экране не весь удаленный рабочий стол, а только активное окно приложения, благодаря чему у него создается впечатление, что он работает с программой локально.

Уже ознакомился и настроил. На примере программы WordPad. Пользователь выбирает File->Open; затем Desktop->Network->Open Network and Sharing Center-> Manage Network Connections. Затем просто поднимается на папку выше и вот он уже видит Control Panel, без труда заходит в Administrative Tools и видит все настройки (изменить не может, но от этого не легче). Причем пользователь относится ТОЛЬКО к группе Remote Desktop Users (без этого он просто не сможет подключиться).

Все эти вещи убираются в настройках групповой политики безопасности (скрыть панель управления и т.д.), но влияют на всех пользователей (включая админов). Можно конечно все позапрещать так, что и админ толком ничего не сможет сделать. А нужно, чтоб у админа все права остались...

Link to comment
Share on other sites
Aleksa106

Aleksa106

Posted
Posted

Все эти вещи убираются в настройках групповой политики безопасности (скрыть панель управления и т.д.), но влияют на всех пользователей (включая админов). Можно конечно все позапрещать так, что и админ толком ничего не сможет сделать. А нужно, чтоб у админа все права остались...

Так в свойствах групповой политики есть возможность настроить к какой группе/пользователю применяется политика...

смотри где-то здесь: GPO Editor - Browse - Users здесь указать на кого действует политика...

Link to comment
Share on other sites
dmitmal

dmitmal

Posted
  • Author
Posted
Так в свойствах групповой политики есть возможность настроить к какой группе/пользователю применяется политика...

смотри где-то здесь: GPO Editor - Browse - Users здесь указать на кого действует политика...

Дело все в том, что на сервере стоит только TS, а AD и DC не подняты. И делать этого не рекомендуется. Тем более, что к этому серверу терминалов будут подключаться компы с других доменов (сложная структура). А на сколько я понял, создать объект групповой политики можно только в домене.

Link to comment
Share on other sites
dmitmal

dmitmal

Posted
  • Author
Posted
GPO Editor - Browse - Users здесь указать на кого действует политика...

Нашел! Через добавление оснастки в Run->mmc. Только из списка можно добавить только одного пользователя. А как добавить группу юзеров??

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...