none
Come creare e gestire policy per utenti remote deskop in win2008 RRS feed

  • Domanda

  • Ciao, ma è necessario avere un dominio per gestire le policy per gli utenti del gruppo remote desktop?

    Ho un server 2008 r2 con licenza rds per 5 utenti non ho dominio vorrei creare una policy più restrittiva per questi utenti in quanto quella che ho trovato nei modello amministrativi ( da gpedit.msc)  non contiene alcune modifiche che vorrei applicare al profilo utente.

    Come devo procedere? Grazie

    sabato 13 novembre 2010 15:17

Risposte

  • Ciao, ma è necessario avere un dominio per gestire le policy per gli utenti del gruppo remote desktop?


    In realtà io ho risposto a questa domada. Direi che la risposta è SI. ovviamente poi sono valide tutte le osservazioni sollevate da Edo in merito alla sicurezza e alla complessità della soluzione.

    In windows server 2008 non è necessario installare a parte la GPMC che fa parte già delle feature.

    Penso che utilizzando le remoteApp e Il terminal server web access puoi limitare l'accesso diretto alla macchina.

    Prova a leggere qui, se può esserti utile a risolvere i lproblema:

    http://technet.microsoft.com/en-us/library/cc730673(WS.10).aspx


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    • Proposto come risposta Anca Popa venerdì 19 novembre 2010 05:26
    • Contrassegnato come risposta Fabrizio Volpe venerdì 19 novembre 2010 09:15
    domenica 14 novembre 2010 19:07
  • le best practices dicono che sia meglio avere i domain controllers isolati dal resto dei servers che erogano servizi nella rete per evitare che una superficie di attacco più ampia permetta la compromissione di macchine che sono il nocciolo della infrastruttura di sicurezza della rete (ossia i dc) ma nel paese delle piccole medie imprese e delle nozze con i fichi secchi spesso capita di avere più ruoli cruciali sulla stessa macchina (vedi un sbs che è dc e che a bordo porta pure sql server, isa server, ecc.ecc.).

    ora, prima di impelagarti nella creazione di un dominio (che bisogna saper configurare) prova a dire quali restrizioni vorresti sui tuoi accounts che vediamo se si possono applicare ugualmente anche senza trasformare il tuo server in domain controller.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    • Proposto come risposta Anca Popa venerdì 19 novembre 2010 05:27
    • Contrassegnato come risposta Fabrizio Volpe venerdì 19 novembre 2010 09:15
    sabato 13 novembre 2010 19:04
    Moderatore

Tutte le risposte

  • penso proprio che dovrai creare il dominio (dcpromo), creare gli utenti che accedono in desktop remoto, inserirli in una OU e llinkare la policy con le impostazioni che ti servono....
    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    sabato 13 novembre 2010 16:28
  • Ciao grazie per la risposta,

    Mi risulta che però la stessa Microsoft sconsiglia l'installazione dei ruoli terminal su un dc vero?

    A questo punto installo ugualmente solo che non capisco seguendo le loro direttive dovrei avere 2 licenze ( 1 per un dc + 1 per un TS )..

    Ok grazie, ciao

    sabato 13 novembre 2010 16:52
  • le best practices dicono che sia meglio avere i domain controllers isolati dal resto dei servers che erogano servizi nella rete per evitare che una superficie di attacco più ampia permetta la compromissione di macchine che sono il nocciolo della infrastruttura di sicurezza della rete (ossia i dc) ma nel paese delle piccole medie imprese e delle nozze con i fichi secchi spesso capita di avere più ruoli cruciali sulla stessa macchina (vedi un sbs che è dc e che a bordo porta pure sql server, isa server, ecc.ecc.).

    ora, prima di impelagarti nella creazione di un dominio (che bisogna saper configurare) prova a dire quali restrizioni vorresti sui tuoi accounts che vediamo se si possono applicare ugualmente anche senza trasformare il tuo server in domain controller.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    • Proposto come risposta Anca Popa venerdì 19 novembre 2010 05:27
    • Contrassegnato come risposta Fabrizio Volpe venerdì 19 novembre 2010 09:15
    sabato 13 novembre 2010 19:04
    Moderatore
  • Ciao, mi è capitato in passato di installare domini ( win2003 ) senza servizi terminal e configurare qualcosina di policy tramite un tool GPMC che si scaricava a parte se non ricordo male.

    Ora in questo caso il cliente vorrebbe nascondere quasi tutto ( disco c di sicuro ) lasciare una zona intranet di scambio a avviare all'avvio un programma che ancora non ho potuto osservare.

    A proposito il tool GPMC non credo sia inserito in win 2008 r2 o sbaglio?

    Grazie per i suggerimenti

    sabato 13 novembre 2010 19:44
  • nascondere quasi tutto permettendo l'esecuzione dei programmi è un'operazione certosina di configurazione dei permessi ntfs sul file system che non ha nulla a che fare con le group policies. modificare i permessi sul file system non richiede la presenza di un dominio e può essere fatta anche su un computer stand alone.

    in ogni caso per la tua domanda su gpmc per win2k8 R2 ti consiglio di leggere questo blog-post

    http://blogs.technet.com/b/grouppolicy/archive/2009/12/23/how-to-install-rsat.aspx

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 14 novembre 2010 08:35
    Moderatore
  • Ciao, ma è necessario avere un dominio per gestire le policy per gli utenti del gruppo remote desktop?


    In realtà io ho risposto a questa domada. Direi che la risposta è SI. ovviamente poi sono valide tutte le osservazioni sollevate da Edo in merito alla sicurezza e alla complessità della soluzione.

    In windows server 2008 non è necessario installare a parte la GPMC che fa parte già delle feature.

    Penso che utilizzando le remoteApp e Il terminal server web access puoi limitare l'accesso diretto alla macchina.

    Prova a leggere qui, se può esserti utile a risolvere i lproblema:

    http://technet.microsoft.com/en-us/library/cc730673(WS.10).aspx


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    • Proposto come risposta Anca Popa venerdì 19 novembre 2010 05:26
    • Contrassegnato come risposta Fabrizio Volpe venerdì 19 novembre 2010 09:15
    domenica 14 novembre 2010 19:07