При настройке пользовательской среды для серверов RDS с ролью Remote Desktop Session Host могут использоваться дополнительные меры усиления безопасности, которые могут быть реализованы путём внедрения разного рода ограничений, диктуемых специальными групповыми политиками действующими только на серверах фермы RDS. И ранее мы рассматривали пример политики "User Group Policy loopback processing mode", которая включает форсированное применение параметров пользовательской среды на серверах RDS. Практика показала, что такие настройки могут вызывать проблемы у тех доменных пользователей, для которых в свойствах учётной записи в домене назначено сетевое расположение профиля.
Например, имеется некий доменный пользователь, у которого в свойствах учётной записи задан параметр "Profile path" (атрибут profilePath), указывающий на сетевой каталог на файловом сервере.
В этом каталоге будут хранится данные профиля этого пользователя и они будут использоваться по умолчанию при входе пользователя на любую доменную систему.
Предположим, у пользователя есть несколько рабочих станций с Windows, на которых он работает. И на какую бы из этих станций не вошёл пользователь, ему будет подгружена привычная для него рабочая среда (документы в профиле, оформление рабочего стола и т.п.) из этого сетевого каталога. Однако, если такой пользователь войдёт на сервер фермы RDS, имеющий ранее упомянутую агрессивную настройку среды с помощью специальной групповой политики, то тут у него могут начаться проблемы разного рода. Например, из самого безобидного, поле того как, пользователь поработает в ферме RDS, выйдет из фермы и войдёт на свою рабочую станцию, то он может обнаружить, что у него пропали обои рабочего стола, которые он настраивал для себя ранее и которые теперь перенастроены в соответствии с политиками RDSH.
То есть когда мы настраиваем политики фермы RDS, мы предполагаем, что при входе в ферму у пользователя подгрузится специальный диск профиля User Profile Disk, ассоциированный с этой фермой. А на самом деле у подобного пользователя произойдёт форсированная загрузка сетевого профиля AD из сетевого каталога. В итоге может получится некий конфликт настроек окружающей среды фермы RDS с механизмом сетевого профиля из AD, используемого на других компьютерах домена.
Решить эту проблему можно путём активации дополнительного параметра GPO, настраивающей серверы RDSH:
Путь: Computer Configuration/Policies/Administrative Templates/System/User Profiles
Параметр: Only allow local user profiles
Значение: Enabled
Этот параметр приведёт к подавлению загрузки сетевого профиля пользователя при входе на серверы RDSH и, как следствие, приведёт к загрузке стандартного профиля User Profile Disk, который настроен в ферме серверов RDS.
RSS - Записи
Добавить комментарий