• Нацеливаем сервера RDSH на RD Licensing с помощью Group Policy Preferences

    imageВ обычной ситуации, для того чтобы централизованно нацелить все сервера с ролью Remote Desktop Session Host (RDSH) на использование какого-то конкретного сервера лицензирования RD Licensing, используются стандартные параметры объектов групповых политик (GPO) из состава Административных шаблонов, конкретнее за это отвечают параметры:

    Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Licensing

    - Use the specified Remote Desktop license servers
    - Set the Remote Desktop licensing mode

    Читать далее...

  • Управляем клиентами KMS с помощью GPP

    imageПри автоматической публикации серверов Key Management Service (KMS) в DNS в территориально распределённых инфраструктурах может возникнуть ситуация, когда клиенты обращаются к KMS-серверам на удалённых площадках, в то время как есть более близкий сервер. Поэтому может возникнуть необходимость направить определённые группы клиентов на конкретные KMS-сервера и сделать это можно с помощью ключей реестра…

    Читать далее...

  • Публикация приложения RemoteApp на в ферме серверов RDS (Windows Server 2012) на примере КонсультантПлюс

    imageВ Windows Server 2012 консоль Server Manager работает таким образом, что при попытке публикации приложения RemoteApp, для которого выбран исполняемый файл расположенный на общем сетевом ресурсе, возникает грозное уведомление о том, что мы можем выбирать исполняемые файлы расположенные только на каком-то конкретном сервере RD Session Host (RDSH)…

    image

    Читать далее...

  • Remote Desktop Services - Настраиваем пользовательский интерфейс на серверах RD Session Host

    imageСерверы сеансов Remote Desktop Services (RDS) - это многопользовательские среды, для которых, как правило, требуется максимально жёсткая настройка пользовательского окружения. Говоря простым языком, – чем у пользователей меньше отвлекающих "буцок", не имеющих прямого отношения к выполняемым ими задачам, – тем лучше и для администратора, и для них самих в конечном итоге. Здесь мы рассмотрим пример настройки некоторых элементов пользовательского интерфейса по следующим позициям:
    - Отключаем отображение Favorites, Libraries и Network
    - Скрываем излишние папки в профиле пользователя
    - Отключаем мастер добавления сетевых расположений
    - Скрываем локальные диски сервера
    - Сворачиваем ленту при запуске Windows Explorer
    - Включаем отображение расширений файлов
    - Ограничиваем набор апплетов в Панели управления
    - Настраиваем панель задач (TaskBar)
    - Заменяем картинку пользователя по умолчанию
    - Настраиваем стартовый экран Windows
    - Создаём групповую политику переопределений для администраторов Читать далее...

  • Развёртывание настроек безопасности клиента SAP

    imageПереводя пользовательские приложения на сервера RDS Windows Server 2012 решили использовать последнюю версию офисных приложений - Microsoft Office 2013, но тут же столкнулись с проблемой: клиентская часть SAP версии 7200.3.13.1075, конкретно Business Explorer не смог работать с Office 2013. Так как у нас использовалась не самая последняя версия клиента SAP, было решено изучить вопрос его обновления.

    Читать далее...

  • Решаем проблему запуска SAP Business Explorer Analyzer из Excel 2010 в ферме серверов RDS

    У пользователей работающих в ферме серверов RDS возникла необходимость использовать надстройку SAP Business Explorer Analyzer (BEx Analyzer) для Microsoft Office Excel 2010.

    image

    Читать далее...

  • GPP: Настраиваем ассоциацию на открытие графических типов файлов на терминальных серверах RDS

    На терминальных серверах под управлением Windows Server 2008 R2 по умолчанию отсутствует программа для просмотра графических файлов (именно для просмотра а не редактирования, типа Paint). Если используется Office 2010, то можно в качестве просмотрщика основных типов графических файлов использовать входящую в его состав программу “Диспетчер рисунков Microsoft Office”.

    Читать далее...

  • Настраиваем блокировку компьютера при простое через screen saver с помощью Group Policy Preferences

    imageВ большинстве организаций, применяющих в своей ИТ инфраструктуре локальные стандарты и регламенты информационной безопасности, уделяется отдельное внимание вопросу блокировки консолей рабочих станций пользователей при наступлении некоторого периода бездействия. Например, в качестве обязательного требования для большинства категорий пользователей может выставляться блокировка рабочего стола компьютера при отсутствии пользовательской активности более 15 минут. В управляемой среде Active Directory в доменных групповых политиках администраторам предоставляется ряд параметров, позволяющих централизованно настроить пользовательскую среду для форсированного применения механизма блокировки рабочего стола посредствам срабатывания программы - хранителя экрана (screen saver), или как её ещё называют, экранной заставки. Эти параметры расположены в разделе групповой политики:

    User Configuration > Policies > Administrative Templates > Control Panel > Personalization

    Вот типичный возможный пример таких настроек:

    Password protect the screen saver  = Enable
    Screen saver timeout = Enable (900 Seconds)
    Force specific screen saver = scrnsave.scr

    image

    В данном примере включено обязательный запуск конкретного файла экранной заставки (scrnsave.scr) при простое более 15 минут с требованием ввода пароля пользователя при попытке последующего доступа к рабочему столу.

    В системе, где применены данные параметры GPO, все настройки экранной заставки для пользователя становятся недоступными для изменений.

    image

    На практике встречается ситуация, когда за компьютером работает сменный суточный персонал, которому постоянно необходимо в режиме наблюдения видеть рабочий стол компьютера. При этом такой персонал может даже иметь несколько рабочих столов компьютеров, за которыми требуется наблюдение и не требуется интерактивное взаимодействие с клиентской ОС. Для такого рода пользователей нужен несколько иной подход с точки зрения автоматической блокировки компьютеров при простое.

    Для обеспечения настроек экранной заставки для сменного персонала и для всех остальных пользователей мы можем создать две отдельные групповые политики – одна с обязательным срабатыванием экранной заставки, другая - без него. Но с использованием механизмов настройки реестра с помощью Group Policy Preferences (GPP) мы сможем гибко объединить эти настройки внутри одной групповой политики.

    Для того, чтобы задействовать механизмы GPP для данной задачи, мы воспользуемся параметрами реестра, которые изменяются стандартными Административными шаблонами, указанными нами ранее. Сопоставим указанные ранее параметры GPO с ключами реестра которые они изменяют в клиентской системе:

    Политика: Password protect the screen saver
    Куст реестра: HKEY_CURRENT_USER
    Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
    Ключ: ScreenSaverIsSecure REG_SZ = 1

    Политика: Screen saver timeout
    Куст реестра: HKEY_CURRENT_USER
    Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
    Ключ: ScreenSaveTimeout REG_SZ = 900

    Значение "900" означает количество секунд от момента начала бездействия до срабатывания экранной заставки (15 минут простоя)

    Политика: Force specific screen saver
    Куст реестра: HKEY_CURRENT_USER
    Ветка: SoftwarePoliciesMicrosoftWindowsControl PanelDesktop
    Ключ: ScreenSaveActive REG_SZ = 1
    Ключ: SCRNSAVE.EXE REG_SZ = scrnsave.scr

    Эксперименты с применением этой политики показали, что ключ реестра ScreenSaveActive добавляется лишь на системах Windows XP, а после отключения этой политики, он из реестра корректно не удаляется. Опытным путём удалось выяснить, что отсутствие этого ключа не вносит никаких изменений, поэтому будем рассматривать его как рудиментарный элемент и исключим из наших настроек GPP.

    Итак, в групповой политике, действующей на наших пользователей, переведём три перечисленных параметра в состояние Not configured (если они ранее были настроены), а в разделе политики User Configuration > Preferences > Windows Settings > Registry создадим логическую группу, в которой будут храниться наши настройки, например ScreenSaver.

    Внутри этой группы создадим две подгруппы настроек - Enabled и Disabled, в которых соответственно будут хранится настройки для включения и отключения форсированного применения экранной заставки. В нашем примере важно, чтобы параметры включения обрабатывались перед параметрами отключения.

    image

    В группе Enabled создадим три правила для создания/обновления ранее перечисленных ключей пользовательского реестра. Нацеливание (Item-level targeting) для этой группы использовать не будем, то есть эти параметры реестра будут применяться для всех пользователей.

    image

    В группе Disabled создадим три правила для удаления этих же ключей реестра. Группа Disabled будет иметь нацеливание на специально созданную доменную группу безопасности, в которую будут включены все пользователи, для которых нужно отключить форсированное применение экранной заставки.

    image

    Таким образом, логика обработки параметров реестра будет заключаться в обязательном включении экранной заставки для всех пользователей за исключением тех, кто включён в специальную группу безопасности. То есть при включении какого-либо пользователя в данную группу, из его пользовательского реестра будут удаляться ключи форсированной настройки экранной заставки, и он самостоятельно сможет, например, отключить её вовсе, так как в ОС диалоговые элементы пользовательского интерфейса станут доступными.

    image

  • Ограничение доступа к внешним накопителям CD, FD, USB с помощью Group Policy Preferences

    Если по каким-то причинам возникает необходимость на некоторых компьютерах c OC Windows полностью заблокировать доступ пользователям к возможности использования съёмных носителей, – можно воспользоваться настройками доступными в стандартных Административных шаблонах групповых политик в разделе Computer Configuration > Administrative Templates > System > Removable Storage Access

    Для того чтобы применить эти параметры к какой-то отдельной группе компьютеров -можно создать отдельную групповую политику с такими настроенными параметрами и прилинковать её например к контейнеру (OU) в домене или изменить разрешения безопасности для этой политики так чтобы применяться она могла лишь к конкретной доменной группе безопасности, в которую включены соответствующие компьютеры.

    Читать далее...

  • WSUS - Управление клиентами с помощью Group Policy Preferences

    WSUS GPPЕсли вы имеете разветвлённую инфраструктуру WSUS с центральным сервером и некоторым количеством подчинённых серверов то, возможно, вы используете для централизации управления клиентами WSUS групповые политики. С появлением механизмов Group Policy Preferences (GPP) у нас появилась возможность вместо множества групповых политик настраивающих разные наборы клиентских компьютеров на ближайшие к ним WSUS сервера, - использовать одну групповую политику с рядом соответствующих настроек в зависимости от тех или иных условий. Читать далее...