Серверы сеансов Remote Desktop Services (RDS) - это многопользовательские среды, для которых, как правило, требуется максимально жёсткая настройка пользовательского окружения. Говоря простым языком, – чем у пользователей меньше отвлекающих "буцок", не имеющих прямого отношения к выполняемым ими задачам, – тем лучше и для администратора, и для них самих в конечном итоге. Здесь мы рассмотрим пример настройки некоторых элементов пользовательского интерфейса по следующим позициям:
- Отключаем отображение Favorites, Libraries и Network
- Скрываем излишние папки в профиле пользователя
- Отключаем мастер добавления сетевых расположений
- Скрываем локальные диски сервера
- Сворачиваем ленту при запуске Windows Explorer
- Включаем отображение расширений файлов
- Ограничиваем набор апплетов в Панели управления
- Настраиваем панель задач (TaskBar)
- Заменяем картинку пользователя по умолчанию
- Настраиваем стартовый экран Windows
- Создаём групповую политику переопределений для администраторов
Отключаем отображение Favorites, Libraries и Network
Для того чтобы скрыть элементы Favorites, Libraries и Network из панели навигации Windows Explorer нужно изменить значения соответствующих трёх параметров системного реестра.
Отключить отображение Favorites:
HKEY_CLASSES_ROOT\CLSID{323CA680-C24D-4099-B94D-446DD2D7249E}\ShellFolder
Поменять значение параметра Attributes с a0900100 на a9400100
Отключить отображение Libraries:
HKEY_CLASSES_ROOT\CLSID{031E4825-7B94-4dc3-B131-E946B44C8DD5}\ShellFolder
Поменять значение параметра Attributes с b080010d на b090010d
Отключить отображение Network:
HKEY_CLASSES_ROOT\CLSID{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\ShellFolder
Поменять значение параметра Attributes с b0040064 на b0940064
Выполнить изменения этих параметров можно например с помощью Group Policy Preferences (GPP), создав в групповой политике применяемой к серверам RDS соответствующие настройки GPP в разделе
Computer Configuration\Preferences\Windows Settings\Registry
При желании можно для применения данного ключа реестра настроить Item-level targeting (ITL) на семейство ОС – Windows Server 2012 Family. Проблема с применением перечисленных параметров реестра заключается в лишь том, что по умолчанию к родительским ключам этих параметров для пользователя SYSTEM предоставлен доступ только на чтение, и без добавления права на редактирование наши параметры GPP применены не будут.
Учитывая то, что владельцем этих ключей является SYSTEM, нам потребуется от имени этого пользователя запустить редактор реестра и добавить права на редактирование. Запустить редактор реестра от имени системы (SYSTEM) можно, например, с помощью утилиты PsExec.exe из состава Sysinternals PsTools командой
PsExec.exe /i /s regedit
Скрываем излишние папки в профиле пользователя
По умолчанию в паке пользователя отображается ряд папок которые на серверах RDS в жёстко ограничиваемом пользовательском пространстве можно считать избыточными и нам желательно сократить их количество до необходимого минимума. Для достижения этой цели можно пойти разными путями:
- Изменить атрибуты папок (или удалить эти папки вообще) в профиле по умолчанию который используется системой при создании новых профилей C:\Users\Default\
- Изменять атрибуты этих папок в уже созданных профилях при каждом входе пользователя в систему или же удалять эти папки в уже существующих профилях.
Первый путь мы не будем рассматривать, так как он не эффективен с точки зрения того, что затрагивает только вновь создаваемые профили, но не модифицирует уже существующие. Второй путь возможен в разных вариациях (выбирайте на вкус):
***
А) Вариант с использованием логон-скрипта обрабатываемого системой при входе пользователя, в котором для всех нужных папок добавлены конструкции типа:
attrib +r +s +h "%USERNAME%\Saved Games" /S /D
Такая конструкция добавит атрибуты “Скрытый” и “Системный” к указанной папке. Добавление атрибута “Системный” позволит нам спрятать указанные папки действительно во всех диалоговых окнах Windows Explorer, чего нельзя добиться при использовании только атрибута “Скрытый”.
Информацию о том, как при необходимости добавить собственный логон-скрипт на сервер RDS можно найти в заметке Windows Server 2008 R2 – Добавление скриптов входа на сервере RDS через ключ реестра AppSetup
***
Б) Вариант удаления нежелательных папок в уже существующих профилях. Можно воспользоваться логон-скриптами в случае если нужна сложная логика проверки наличия в этих папках какого-либо пользовательского контента. Если же точно известно, что в профилях пользователей в этих папках ничего нет, то можно использовать для жёсткого удаления этих папок механизмы GPP в разделе
User Configuration\Preferences\Windows Settings\Folders
При создании настройки GPP для операции удаления файлов/папок в пользовательском профиле обязательно включать параметр выполнения задачи в контексте пользователя – Run in logged-on user’s security context (user policy option) на закладке Common
Для удаляемых GPP папок также нужно не забыть отключить для этих папок механизм их перенаправления (Folder Redirection), в противном случае при каждом входе пользователя в систему будет идти противоборство механизмов перенаправления папок и удаления этих же папок через GPP, то есть сначала папки будут создаваться а потом тут же удаляться.
***
B) Третий вариант, самый приемлемый на мой взгляд. Параллельно использованию механизма перенаправления папок с помощью GPP запускать скрипт установки атрибутов “Скрытый” и “Системный” для нужных папок пользователя, то есть и папки останутся целыми и от пользователя мы их скроем. Для этого создадим параметр GPP в разделе User Configuration\Preferences\Windows Settings\Registry - строковой параметр реестра REG_SZ с любым именем, например HideUserProfileFolders в ключе HKCU\Software\Microsoft\Windows\CurrentVersion\Run и значением \\FileServer\RDS_UserSettings\Hide-User-Profile-Folders.vbs
Таким образом мы пропишем в автозагрузку пользовательской среды запуск скрипта, расположенного на общедоступном сетевом ресурсе. В теле скрипта будем выполнять проверку на наличие атрибутов “Скрытый” и “Системный” на нужных нам папках и если атрибут не установлен – будем его устанавливать. Пример такого скрипта:
Set WS = CreateObject("WScript.Shell") Set FS = CreateObject("Scripting.FileSystemObject") vRootFolder = WS.ExpandEnvironmentStrings("%RDS_RFOLDERS%") vUserName = WS.ExpandEnvironmentStrings("%USERNAME%") arrSubFolders = Array("Contacts", "Downloads", "Favorites", "Links","Music", "Saved Games", "Searches", "Videos" ) For i = LBound(arrSubFolders) to UBound(arrSubFolders) vPath = vRootFolder + "\" + vUserName + "\" + arrSubFolders(i) If FS.FolderExists(vPath) Then Set objFolder = FS.GetFolder(vPath) If ((objFolder.Attributes AND 2) = 0) Then 'Folder Not Hidden objFolder.Attributes = objFolder.Attributes + 2 End If If ((objFolder.Attributes AND 4) = 0) Then 'Folder Not System objFolder.Attributes = objFolder.Attributes + 4 End If End If Next
Дополнительно найти примеры манипуляций с каталогами из VBS можно найти по ссылке ActiveXperts.com - Scripts to manage Folders.
Обратите внимание на то, что в теле скрипта используется переменная окружения %RDS_RFOLDERS%. Так как речь идёт о том, что папки пользователя над атрибутами которых мы собираемся провести изменения, являются перенаправленными (Folder Redirection), то к ним нельзя обратиться просто используя переменную %USERPROFILE%. Вместо этого нужно указать путь к фактическому размещению сетевого каталога для перенаправляемых папок пользователя, и для того чтобы указать этот каталог можно использовать дополнительную переменную в теле самого скрипта, а можно опять-же с помощью GPP создать пользовательскую переменную окружения куда и записать это значение. После этого созданную переменную можно будет использовать как в этом, так и в других скриптах настройки пользовательской среды. Итак, для создания дополнительной пользовательской переменной, создадим параметр GPP в разделе User Configuration\Preferences\Windows Settings\Environment
После применения созданных нами параметров GPP и отработки скрипта при входе пользователя в уже созданный профиль (то есть это не применимо для первого входа в систему с созданием нового профиля), мы получим следующий результат:
Отключаем мастер добавления сетевых расположений
Так как все сетевые ресурсы мы настраиваем в пользовательском окружении централизованно, возможно мы захотим скрыть от пользователя возможность подключения/отключения сетевых дисков, а также запретить вызов мастера добавления сетевых расположений
Для этого достаточно настроить предопределённый параметр GPO
Remove "Map Network Drive" and "Disconnect Network Drive"
в разделах
User Configuration\Policies\Administrative Templates\Windows Components\File Explorer
Computer Configuration\Policies\Administrative Templates\Windows Components\File Explorer
Скрываем локальные диски сервера
Для того чтобы скрыть от пользователей все локальные диски сервера, оставив возможность видеть в Windows Explorer лишь свои перенаправленные диски включим и настроим параметр GPO
Hide these specified drives in My Computer = Restrict all drives
в разделе
User Configuration\Policies\Administrative Templates\Windows Components\File Explorer
В результате применения этой политики мы получим примерно следующий вид:
Сворачиваем ленту при запуске Windows Explorer
Ещё один предопределённый параметр GPO позволит нам настроить запуск новых окон Windows Explorer со свёрнутой лентой (верхней панелью кнопок).
Start File Explorer with ribbon minimized
установим в значение Always open new File Explorer windows with the ribbon minimized
в разделах
User Configuration\Policies\Administrative Templates\Windows Components\File Explorer
Computer Configuration\Policies\Administrative Templates\Windows Components\File Explorer
Несмотря на то что этот же параметр GPO есть в User Configuration, он по какой-то причине подавляется существующим параметром реестра ExplorerRibbonStartsMinimized в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer
и это происходит даже не смотря на то, что данная политика в Computer Configuration не настроена. Такое поведение лечится лишь явным отключением этой политики в Computer Configuration, и поэтому особого смысла в этой политике на уровне User Configuration я не вижу и использую её на уровне Computer Configuration
Включаем отображение расширений файлов
Отключаем включенную по умолчанию опцию сокрытия расширений для зарегистрированных типов файлов (Hide extension for known file types).
Для этого создадим параметр GPP в разделе
User Configuration\Preferences\Windows Settings\Registry - параметр реестра REG_DWORD с именем HideFileExt и значением 0 в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
с типом действия Update
Ограничиваем набор апплетов в Панели управления
В панели управления скроем все апплеты кроме тех, которые реально могут понадобиться пользователям с помощью предопределённого параметра GPO
Show only specified Control Panel items в разделе
User Configuration\Policies\Administrative Templates\Control Panel
В таблице настройки отображаемых значений на всякий случай введём русский и английский вариант имён апплетов Панели управления:
Свойства браузера
Язык
Региональные стандарты
Устройства и принтеры
Internet Options
Language
Region
Devices and Printers
Дополнительно через GPP задаем вид элементов Control Panel в виде маленьких значков через Update двух параметров реестра в ключе:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel
AllItemsIconView REG_DWORD = 1
StartupPage REG_DWORD = 1
В результате применения созданных параметров GPO в пользовательском окружении получим следующий вид Панели управления:
Настраиваем панель задач (TaskBar)
Общая методика следующая – сначала настраиваем в текущем профиле пользователя панель задач так, как она должна выглядеть у всех других пользователей, после этого, с помощью механизмов GPP, передаём параметры реестра, отвечающие за хранение настроек TaskBar из текущего профиля в другие.
Итак, сначала мы должны “запилить” TaskBar в текущем профиле до желаемого вида.
Создаём на рабочем столе ярлыки, ссылающиеся на исполняемые файлы. При желании меняем иконки для ярлыков, добавляем в свойства ярлыка Комментарий который будут видеть пользователи при наведении курсора на этот ярлык и т.д. Если необходимо сделать ярлык на какой либо каталог (локальный или сетевой), то ярлык делаем для исполняемого файла C:\Windows\explorer.exe и через пробел добавляем имя каталога который должен открываться этим ярлыком.
Если есть сильное желание создать на панели задач отдельную кнопку свёртывания/развертывания всех окон (не все пользователи знают о самой правой узкой кнопке на панели задач в W8/W2012, которая отвечает за свёртывание/развертывание), то можно использовать следующий шаманский метод..
1. Создаём пустой файл с каким-нибудь диким именем, например nullprogram.exe
2. Делаем ярлык на этот файл, устанавливаем ярлыку имя которое мы хотим получить в результате например "Свернуть все окна.lnk". В свойствах ярлыка меняем значок на нужный из %windir%\system32\imageres.dll
3. Закрепляем ярлык на панели задач и удаляем с рабочего стола
4. Копируем ярлык C:\Users\имя пользователя\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk в каталог C:\Users\имя пользователя\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar и сразу переименовываем этот ярлык в "Свернуть все окна.lnk" (таким образом наш фейковый ярлык будет заменён на правильный)
5. Выполняем Logoff/Logon и проверяем как работает наша кнопка на панели задач.
Есть информация, что аналогично можно проделать и с ярлыком Window Switcher.lnk, но я сам этого не проверял.
Теперь мысли по поводу запуска стартового экрана из панели задач. Ряд пользователей жалуются на то, что им не нравится вызывать стартовый экран с помощью функции активных углов, которая в RDP сессии ведёт себя не всегда вменяемо. А кнопка на панели задач вызывающая этот самый стартовый экран обещана только в следующей версии ОС. Поэтому пришлось немного нагрузить нашего программиста, чтобы он слепил нечто подобное. В итоге мы получили маленький исполняемый файл, который фактически эмулирует нажатие кнопки Windows в результате чего вызывается стартовый экран. Загрузить программу можно со страницы на CodePlex. Скопируем файл Start.exe например в каталог %windir% на все наши сервера RDS и на панели задач закрепим ярлык на него.
***
После того как панель задач настроена нужным образом, копируем в отдельную сетевую папку, доступную на чтение всем пользователям, иконки из профиля пользователя под которым выполняли настройку панели задач из папки
%AppData%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
Создаем GPP на основе всех параметров реестра в ключе
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband
Сразу все настроенные параметры реестра оптом легко могут быть вставлены в редактор GPP с помощью мастера импорта реестра - Registry Wizard
Итого по данной задаче в параметрах GPP в разделе
User Configuration\Preferences\Windows Settings\Registry
мы создадим группу параметров где сначала удаляем ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband и все вложенные в него параметры, а затем заново создаём этот ключ и устанавливаем предопределённо настроенные параметры
Ну и соответственно в параметрах GPP в разделе
User Configuration\Preferences\Windows Settings\Files
сначала удаляем все ярлыки из профиля пользователя затем копируем нужные из сетевой папки.
1. Удаление всех файлов *.lnk из профиля пользователя из папки
%AppData%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
2. Копирование из шары всех файлов *.lnk в профиль пользователя в папку
%AppData%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
***
Далее, через пользовательские групповые политики выключим отображение иконок в системном трее.
User Configuration\Policies\Administrative Templates\Start Menu and Taskbar
***
В конфигурации по умолчанию для панели задач включен самый жесткий режим группировки информации об открытых окнах – Always combine, hide labels
Можно задать единую для всех пользователей настройку группировки в другом варианте, например когда группировка происходит только в том случае, если панель задач заполнена – Combine then taskbar is full. За эту настройку отвечает параметр реестра TaskbarGlomLevel в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Создадим в параметрах GPP в разделе
User Configuration\Preferences\Windows Settings\Registry
соответствующий параметр реестра
***
В итоге мы должны получить примерно следующий вид панели задач
Заменяем картинку пользователя по умолчанию
По умолчанию в Windows Server 2012 в качестве картинки пользователя установлено изображение "яйцеголового анонимуса".
Если есть желание как-то изменить эту картинку, например придать ей корпоративный стиль, то для этого нужно заменить 6 файлов расположенных сервере в каталоге
%ProgramData%\Microsoft\User Account Pictures\
предварительно создав их в следующем формате:
Имя файла | Тип файла | Размер (пикселей) |
guest | bmp | 448 * 448 |
guest | png | 448 * 448 |
user | bmp | 448 * 448 |
user | png | 448 * 448 |
user-200 | png | 200 * 200 |
user-40 | png | 40 * 40 |
Также можно включить групповую политику
Apply the default account picture to all users в разделе
Computer Configuration\Administrative Templates\Control Panel\User Accounts
после чего заменённые нами изображения будут отображаться для всех вошедших в систему пользователей
Настраиваем стартовый экран Windows
Входим в систему под любым пользователем и настраиваем стартовый экран (или как его ещё называют Modern UI Start) в том виде, в котором мы хотим его представить всем пользователям без возможности последующей модификации.
Все сделанные настройки стартового экрана сохраняются в бинарном файле appsFolder.itemdata-ms расположенном в профиле пользователя в каталоге
%USERPROFILE%\AppData\Local\Microsoft\Windows
на том сервере, где выполнялась модификация. То есть, как вы поняли, этот файл не попадает в состав перемещаемого профиля и именно поэтому нужно его брать с того сервера, на котором выполнялась настройка (из локальной копии профиля пользователя). Разместим файл в общедоступной сетевой папке, из которой он будет копироваться в профиль пользователя при его входе на сервера RDS. Установим для этого файла атрибут “Только чтение”.
Создадим в параметрах GPP в разделе
User Configuration\Preferences\Windows Settings\Files
настройку, которая будет при входе пользователя в систему переписывать этот файл appsFolder.itemdata-ms. Дополнительно можно включить форсированную установку атрибута “Только чтение”
Пример заполнения полей параметра GPP:
Source file: \server\MetroStart\appsFolder.itemdata-ms
Destination File: %USERPROFILE%\AppData\Local\Microsoft\Windows\appsFolder.itemdata-ms
В результате применения такой политики мы получим одинаковый стартовый экран у всех пользователей с фактическим запретом на его редактирование.
При закреплении ярлыков в стартовом экране, который планируется использовать для всех пользователей есть один неприятный момент, который мне так и не удалось победить. Он заключается в том, что если закреплять ярлыки на полноценно установленные в системе приложения или какие-то системные объекты типа "Панель управления", то они без вопросов будут отображаться у всех пользователей, но вот если закрепить ярлыки на какие-то отдельно взятые папки (локальные или сетевые) или на какие-то исполняемые файлы, незарегистрированные в системе через механизм установки программ (локальные или сетевые), то такие ярлыки у других пользователей отображаться не будут. По этому поводу открыл ветку обсуждения на форуме Technet, но к сожалению решения для W8/WS2012 пока нет. Есть лишь информация о том, что в W8.1/WS2012 R2 ситуация с централизованной настройкой стартового экрана измениться к лучшему и будет решаться связкой инструментария GPO и PowerShell.
Создаём групповую политику переопределений для администраторов
Помимо рядовых пользователей на сервера RDS работают и администраторы, которым созданные ограничения могу мешать в работе. Для того, чтобы разрешить эту ситуацию, создадим отдельную групповую политику переопределний для администраторов. В ней можно, например, разрешить доступ ко всем элементам панели управления и обзор всех дисков. То есть параметры GPO включенные и настроенные в общей пользовательской политике могут быть выключены или переопределены в политике для администраторов. Чтобы GPO для администраторов могли переопределять пользовательские GPO, нужно правильно настроить порядок применения этих политик.
Применение политики переопределений для администраторов надо ограничить доменной группой безопасности, в которую буду включены учетные запись этих администраторов и убрать назначенную по умолчанию группу Authenticated Users
В результате рядовые пользователи будут на наших серверах RDS будут иметь усиленные настройки, а администраторы ослабленные.
Полезная статья с юмором :)
"«яйцеголового анонимуса»"
все это украшательство конечно хорошо, только уж лучше RemoteApp.
А скрывать диски без толку, пока пользователи могут запустить эксплорер или win+r.
Приложения типа 1С 7.7 иногда требуют прав админа для пользователя- соответственно челоек может и удалить файлики и запусить через интерфейс 1С.
RemoteApp не всегда канает. Диски скрывать не без толку ибо, уровень разных пользователей - разный, и поверьте, лишь единицы понимают что можно в адресной строке эксплорера набрать C:\...
Ну а то, что 1С v7.7 нужны админские права - это вообще глупости, если конечно ваши 1С-ники не полные чупакабры :)
админские права нужны 1 раз как правило(зависит от конфигурации) при первом входе. Но ведь это надо админу зайти что то сделать- не все этого хотят делать- легче админа дать, благо рабочего стола нет...
Что не канает через RemoteAPP ??
Что касается уровня пользователей, то им просто надо в гугле набрать"как взломать 1с удаленный рабочий стол" и пожалуйста. Плюс именно от таких "гадов" которые чуток разбираются и надо скрывать ресурсы.
В данном случае если нужен полноценный рабочий стол- VDI и куча проблем решена.(а еще куча).
rdpdog.wordpress.com
и еще скрытые диски видно в диалоге "сохранить как"
Однозначно, если 1С нужны админские права, то это явно не типовая конфигурация от 1С, а какие-то сторонние "говно-разработки". В своё время "собаку съел" с этой платформой, так что знаю, о чём говорю.
В RemoteApp не всё так гладко, как хотелось бы с модальными окнами, например есть глючки в том же КонсультантПлюс.
VDI это конечно хорошо, но это серъёзная вещь которая требует взрослой проработки при внедрении и вагон ресурсов, которые далеко не у всех в достатке. Возможно, в некоторых случаях, "спасти отца русской демократии" сможет такая замечательная вещь как App-V (да ещё и в сочетании с RDS), тем более что с версией 5.0 она стала более привлекательной.
У меня в консультанте работают все через WebAccess +RemoteApp никогда не слышал жалоб.
Про модальные окна слышал, но не видел, тот ли у вас толи у кого читал про обновление устраняющие проблемы с потерей фокуса- поставил на всякий пожарный.
в моем блоге в конце статьи ссылка http://rdpdog.wordpress.com/2012/08/30/%D1%81%D0%BB%D1%83%D1%87%D0%B0%D0%B9-%D0%B8%D0%B7-%D0%BF%D1%80%D0%B0%D0%BA%D1%82%D0%B8%D0%BA%D0%B8-5/
Хотите дам тестовый доступ к консультанту, проверите есть ли проблема с модальными окнами?
Спасибо, не надо. Мне есть чем заняться :)
Ну просто вы меня зацепили, а вдруг и у меня есть проблема? Подскажите в каких условиях появляется проблема с модальными окнами в консультанте?
Предлагаю перенести обсуждение этого вопроса в более родственный по теме пост - https://blog.it-kb.ru/2013/09/11/publish-remoteapp-in-rds-farm-windows-server-2012-consultant-plus-application-on-file-share-over-powershell/
Возникло некоторое затруднение...
Вопрос касается по поводу удаления *.lnk и добавление своих.
Политика отлично отрабатывает у уже существующих пользователей, но не очень хорошо у новых.
Объясню в чем причина:
При создании нового пользователя действия политики производятся быстрее секунд на 30, чем добавление "стоковых" ярлыков в TaskBar. Это свидетельствует свойство файлов и дата создания.
В итоге имеем свои значки + стоковые. =\
Как бы решить этот вопрос с созданием стоковых значков при создании пользователя?
Открыл тему на форуме на форуме: http://forum.it-kb.ru/viewtopic.php?f=6&t=25
Уважаемые гуру, есть сервер Win2008r2, контроллер домена. Есть пользователи порядком 30 человек. Хомяки заходят на сервер по RDP. Необходимо групповой политикой ограничить подключение локальных ресурсов Диска С, Д, Е и так далее у пользователя подключающегося по RDP. Я смотрел в GP есть только для компьютера данное ограничение, но как его внедрить на Пользователя, увы, перекопал все и ничего не нашел :( Подскажите пожалуйста.
Посмотрите например эту статью http://blogs.msdn.com/b/rds/archive/2011/05/26/how-to-restrict-users-from-accessing-local-drives-of-an-rd-session-host-server-while-using-remoteapp-programs.aspx
Возможно вообще убрать кнопку Пуск? Или отключить контекстное меню на ней. Т.к.через это меню можно с правами юзера выйти на системный диск. Это не страшно, но хотелось бы убрать эту лазейку.
А смысл? Все "лазейки" всё равно убрать не удастся. Доступ к системному диску можно получить даже через notepad, так что особо заморачиваться на полной ВИЗУАЛЬНОЙ изоляции среды смысла не вижу.
Я использую профиля, которые хранятся на виртуальных дисках vhdx.
Никто не сталкивался с появлением внутри профиля пользователя папки Windows (C:\Users\username\WINDOWS\system)? Почему она появляется? Причем она пустая ...
Если не мешает, бог с ней. У меня так же появляется
хотя нет, поправлюсь, создался именно пустой каталог пользователя
У меня замена картинки профиля не прокатила, заменил все что есть, все равно выходит анонимус)) Даже в панели управления поставил флаг.
Зачем все скрывать?, прога есть отличная True Launch bar, доавить туда логон скриптом ярлычков на необходимые проги труда не составит, и ставим её запуск вместо Эксплорера, экономим ресурсы тем самым :)
Вы не учитываете то обстоятельство, что практически из любого запущенного приложения можно вызывать системные диалоги открытия или сохранения файлов. И там пользователь увидит ничем не ограниченную среду. Полагаю, что для некоторых ситуаций это будет неприемлемо.
Алексей, скажите по опыту, возможно ли ограничить видимость директорий для конкретного терминального пользователя? По сути, при входе стартуется 1С (прописан просто пусть у пользователя на вкладке Environment), а после закрытия 1С завершается и работа пользователя с сервером. Т.е. юзер работает только с одним приложением. Ни десктопа, ни меню пуск он не видит.
Но однако, ведь иногда требуется сохранить некий документ, то в окне "Сохранить Как..." он видит всё дерево директорий сервера. А хотелось бы, чтобы он никуда не мог сохранять (а тем более открывать), кроме специально выделенной для него папки.
Можно ли как-то юзеру "принудительно" выставить папку, куда он будет складывать свои файлы?
Я не могу предложить Вам ничего больше того, что описано в статье. В большинстве случаев этого более, чем достаточно.
Да, бесспорно, статья шикарная. Но вот ряд вещей я не нашёл в MS Server 2016, в частности "групповая политика переопределений для администраторов" - GPO. Есть только Local Group Policy Editor. Уже всё перелопатил за 2 дня поисков.
Т.е. основная идея - это подменять политики при входе юзера? Правильно я понял?
Но как это сделать (.
Local Group Policy Editor для того, что править локальные политики компьютера. А в последнем абзаце речь идёт о настройке приоритета обработки доменных групповых политик, которые настраиваются через оснастку GPMC
Алексей, поясните пожалуйста к какой группе (OU) вы привязываете политику переопределения для администраторов?
Групповые политики вешаются на OU, в котором отдельно хранятся учётные записи всех серверов RD Session Host.
Но ведь тогда она не сработает, раз мы в фильтре безопасности указываем группу с учетными записями администраторов, в OU то у нас учетные записи серверов. Общая пользовательская политика отрабатывает, т.к. она привязана к группе Authenticated User, в которую входят и учетных записи всех доменных компьютеров. Как все-таки сделать переопределение для администраторов, что я упускаю?
Ещё раз по порядку.
Серверы RD Session Host складываются в отдельный OU.
На этот OU навешивается одна политика, которая настраивает и параметры компьютера и параметры пользователя, то есть политика содержит все максимально жесткие настройки для работы в многопользовательской среде. Назовём её политикой №1.
Чтобы настройки этой политики не конфликтовали (имели приоритет) с аналогичными настройками из других каких-либо политик, наследуемыми с верхнего уровня, в этой политике включается режим "замыкания на себя".
(Administrative Templates > System > Group Policy > Configure user Group Policy loopback processing = Enabled ; Mode = Replace).
Эта политика имеет стандартные разрешения на чтение для всех Authenticated Users.
Далее, для администраторов создаётся дополнительная "ослабляющая" политика (только параметры пользователя), позволяющая, например, видеть все апплеты панели управления, все диски и т.д.
Назовём её политикой №2.
Эта политика вешается на тот же самый OU с серверами RDSH, но для неё в оснастке gpmc.msc выставляется приоритет обработки таким образом, чтобы она применялась после ранее описанной общей жёсткой политики №1. При этом на данную ослабляющую политику накладывается дополнительный фильтр безопасности (группу Authenticated Users убираем, а спец.группу с администраторами RDSH добавляем).
В итоге у всех стандартных юзеров применяется только политика №1, а у администраторов применяется сначала политика №1, а затем политика №2.
Это все ясно, только работать не будет...
после вот этого действия: "При этом на данную ослабляющую политику накладывается дополнительный фильтр безопасности (группу Authenticated Users убираем, а спец.группу с администраторами RDSH добавляем)..."
данная политика применяться не будет совсем, т.к. в OU нас находятся компьютеры!, которые в "спец.группу с администраторами RDSH" не входят.
В ферме 2008 R2 я эти переопределения настроил, но к сожалению эта ферма утеряна вместе с развалившимся RAID-массивом на гипервизоре. В ферме 2016 к сожалению эти переопределения не заработали, возможны 2 варианта: либо для администраторов также применяются ограничивающие политики пользователей, либо для пользователей не работают ограничения. Поэтому я просто запретил применение пользовательской политики для группы администраторов терминальных серверов c помощью делегирования разрешений и отказался от применения политики переопределений для администраторов для фермы RDS. Пока другого способа более оптимального не нашёл.