» TS Remote App и запрет удаленного радочего стола

Здравствуйте!Задача такая:Есть Win 2008 Server Standart с TS . Как сделать так,чтобы определенные пользователи запускали определенные программы,используя rdp файлы,но при этом не имели бы возможность запуска удаленного рабочего стола, используя свои логин, пассворд.

CiJay

Никак. Почитай сначало о том что такое TS Remote App, а потом задавай такие глупые и бесмысленные вопросы.

anton04,умник,что такое RemoteApp прекрасно знаю и тем более использую,но что мне не нравится,так это то,что пользователь может запускать не только данную ему программу(rdp файл),а успешно логинится на TS и запускать другие программы.
anton04,что то я не помню,что бы мы на "ты" переходили.

CiJay

Если вы знаете, что есть технология сервера терминала, то таких откровенно глупых (только не надо хмурить лоб, без обид ) вопросов у Вас бы не возникало.

P.S. При запуске rdp файла происходит запуск сценария автоматического запуска, т.е. заход на сервер терминалов и запуск определённого приложения и бесшовном режиме. И всё. И как вы, собираетесь в этом случае запретить заход пользователям в сервер терминалов!? Единственное, что вы можете сделать это ограничить запуск приложений на сервере терминалов посредством GPO домена.

anton04
CiJay
если я правильно помню, то в свойствах RDP на сервере можно настроить кому что разрешено запускать... помимо GPO...

anton04,я не сис.админ,а интересующийся пользователь TS и мне интересно,почему я могу залогинится через Remote Desktop и запустить вообще любую программу.
Alukardd,спасибо,именно то что нужно:настроить TS таким образом,чтобы даже если пользователь залогинился на серевер через Remote Desktop,то ему бы была доступна только одна программа.

Alukardd

Цитата:

то в свойствах RDP на сервере можно настроить кому что разрешено запускать

Это те же политики только локальные. Я предлогал решить всё через доменные, что есть более гибко/правильно.

CiJay

Цитата:

я не сис.админ

Тогда вы новерное читали название топика В помощь системному администратору


Цитата:

и мне интересно,почему я могу залогинится через Remote Desktop и запустить вообще любую программу.

Тогда так вопрос и нужно было задавать Какой вопрос таков ответ.

anton04,да,читал название, только я написал,что интересуюсь,заходя в этот раздел.Давайте не будем выяснять зачем мне это и т.д.,если я не сис. админ.
Хорошо,ставлю вопрос правильно:
Как разрешить пользователю запускать только одну программу.И ,например,если эта программа Internet Explorer,как разрешить посещать только определенные хосты встроенными средствами.

CiJay


Цитата:

только я написал,что интересуюсь

Где!?
Цитата:

Задача такая:...

Цитата:

Давайте не будем выяснять зачем мне это

Дорогой вы мой, да мне пофиг зачем Вам это нужно, я всё это время допытываюсь у вас это узнать только по одной причине, а именно что неполнота Вашего вопроса (задачи) ведёт к множеству (превалирующим в бесконечность) вариантов ответов.


Цитата:

Как разрешить пользователю запускать только одну программу

На это вам уже ответили, GPO и политика ограничения запуска программ.


Цитата:

если эта программа Internet Explorer,как разрешить посещать только определенные хосты встроенными средствами.

А вот это уже другая история и самому главному вопросу не имеет отношения.
Насколько мне известно, то это делается посредством proxy сервера (более гибко и правильно) или с помощью какой либо тупой софтины на самом сервере (софтин таких море).

P.S. И то и другое можно организовать имея исключительно административный доступ к системе.

В настройках RDP указывая группы пользователей которым разрешено коннектиться к серверу терминалов можно жестко указать многие параметры которые перекроют настройки пользователя в том числе и запускаемую программу. В этом случае пользователь входящий в определенную группу будет получать только то что ему разрешено (в вашем случае IE). Ограничение списка хостов доступных из IE с сервера терминалов настраивается на прокси.

SeriusDanil, можно подробнее, как это реализовать?

CiJay, прочтите внимательно это http://social.technet.microsoft.com/Forums/ru-RU/ws2008r2ru/thread/c52ed594-d9f3-4514-a3b7-96d31e6c51ca

а Вы уважаемый anton04, научитесь давать неглупие ответы! Мне было неприятно читать Ваши реплики.

хотя тема и старая, но проблема актуальна, поэтому напишу один из путей решения.
мне нужно было проделать такое только с одним пользователем, поэтому я решил ее через настройку среды конкретного пользователя. если же нужно применять подобные действия к группе пользователей, то добро пожаловать в групповые политики, где и настраиваем все по аналогичному принципу.
итак, для пользователя:
заходим в свойства пользователя и переходим на вкладку "среда".
в строке "при входе в систему запускать следующую программу" прописываем:

Код: %systemroot%\system32\logoff.exe

botva0

Цитата:

в результате пользователь свободно запускает приложения через remoteapp, но при попытке входа на удаленный рабочий стол, его сеанс автоматически завершается.

а теперь запустите приложение через remoteapp и нажмите Ctrl+Alt+End

DARKPORT
для таких талантов есть твик реестра, который запрещает диспетчер задач для конкретного пользователя. ну или через локальные политики его запретить.

У меня получилось сделать попроще для сервера не в домене, в групповой политике:
1) Включил по умолчанию Уровень безопасности "Запрещено"
2) Выставил в "Применение" "всех пользователей, кроме локальных администраторов"
3) Создал в дополнительных правилах по пути следующие ехе-шники:
c:\Windows\System32
dwm.exe
rdpclip.exe
rdpinit.exe
rdpshell.exe
rundll32.exe
userinit.exe
taskhost.exe
и исполняемый файл своей программы для RemoteApp

В результате доступ RemoteApp работает, а полноценный раб стол нет.
Если запретить пользователям модификацию и удаление exe-шника моей программы, то получим изолированный сервер с которого нельзя никоим образом извлечь информацию. Это, конечно, при условии, что в настройках пользователя будет запрещено перенаправление всех устройств и выключен буфер обмена. У себя я также отключил в настройках сетевухи Службу доступа к файлам и принтерам.

День добрый.
может пригодиться кому
как развитие темы предложенной человеком
Цитата:

botva0

Задача - управлять путем членства в группах режимом доступа (только remotApp или оба способа)
Реализация
на группу которой я разрешаю терминальный вход на этот сервер (любой способ) вешаю политику, которая запускает скрипт (не logon_script)


User Configuration
Administrative Templates
Windows Components/Terminal Services
Policy
Start a program on connection Enabled
Program path and file name C:\AdminTools\NoRDP.cmd ( ПУТЬ к локальной папке на сервере терминалов)

содержимое cmd
----
@echo off
powershell -WindowStyle Hidden -File "C:\AdminTools\RDP.ps1"
----

содержимое PS1

-----------
# Скрипт проверки входит ли пользователь в группу.
# Если пользователь не входит в СПЕЦ группу - "разлогиниваем" его.
# Скрипт нужен для предотвращения интерактивного входа пользователей на сервер терминалов.

$Checkme = whoami /groups | Select-String -Pattern "TerminalAdmins" -SimpleMatch -Quiet
if ($Checkme -eq $true){explorer.exe}
else {logoff.exe}
---------------

в моем случае группа "TerminalAdmins" - это те кто могут заходить в режиме раб.стола


ps script родом с TechNet

Всем привет. Я этот вопрос тешил так:
Я на локальных ПК сам делал первое подключение, через созданный .RDP файл.
Ставил галку "Сохранить Пароль". И можно было подключиться к RemoteApp, только, через запуск файл.RDP т.е. пароль никто не знает, что-бы подключиться просто к Удаленному Рабочему Столу, не считая тех, кто может его (пароль) выковырять из локальной Винды. Опять же будет сложно, потому-что все сотрудники заходят на свои ПК с правами Пользователя...

Это было предположение! Проверил... Пароль запоминается системой и обычное подключение по RDP происходит, без запроса парля !

Ну если вы решили поделится этим, то я тоже просто так напомню, что собссссно подключение можно и не делать, а control usepassword2 и там просто сохранить нужный логин и пароль. Но у меня кстати политика другая, я НАОБОРОТ не ставлю и не рекомендую ставить эту галку