none
limitazioni RDS RRS feed

  • Domanda

  • Sto provando a far funzionare un server virtuale RDS a fianco del DC virtuale, entrambi 2012r2 su host hyper-V sempre 2012r2 (rispettando i limiti della licenza MS).

    Ho seguito la strada dell'installazione dei vari ruoli (Remote Desktop Licensing, Remote Desktop Session Host e Remote Desktop Web Access) anziché seguire il wizard "installazione servizi desktop remoto". Al termine ho impostato alcune limitazioni tramite group policy editor (tipo disconnessione dopo 10 minuti d'inattività, utenti autorizzati, ecc...), e tutto mi sembra funzioni correttamente, dai client chiamo "connessione desktop remoto" e mi appare il desktop di 2012r2.

    Non ho però capito da dove posso limitare le azioni che gli utenti possono compiere sul desktop (es. non permettere l'uso di paint o l'apertura del pannello di controllo).

    Avrei inoltre bisogno di poter "sganciare" i client dall'avere windows installato a bordo: posso farli bootare da NIC, oppure installare una distro minima di linux che chiami l'RDP?

    Grazie,

    lunedì 30 novembre 2015 21:34

Risposte

  • RD Web Access dovrebbe richiedere comunque l'utilizzo di un sistema operativo Windows per funzionare correttamente, anche se le ultime versioni non utilizzano più controlli ActiveX compatibili solo con IE.

    In ogni caso puoi comunque risolvere il problema utilizzando altri client RDP disponibili anche per altri sistemi operativi (ad esempio Linux), anche se devi considerare che spesso non offrono le stesse prestazioni e tutte le funzionalità. I thin client Linux-based hanno software di connessione RDP proprietari che in genere vengono supportati dall'azienda stessa che produce l'hardware quindi a mio parere rimangono la scelta migliore in una situazione analoga alla tua.

    Per limitare le azioni devi sempre utilizzare le Group policy (locali al server o di dominio). Nel tuo caso penso che bastino i criteri "Esegui solo applicazioni Windows specificate", "Non eseguire le applicazioni Windows specificate" che trovi in Modelli amministrativi > Sistema o AppLocker per scenari più complessi. Per il pannello di controllo "Impedisci l'accesso al Pannello di controllo e a Impostazioni PC" sotto Modelli amministrativi > Pannello di controllo.




    martedì 1 dicembre 2015 22:30
    Moderatore
  • Scusa se mi permetto, ma mi pare che siano state date indicazioni molto precise, cos'é che non e ancora chiaro?

    - non sei vincolato a Windows, Linux ad esempi ha il suo client RDP

    - il lockdown si esegue con le GPO

    Questo articolo da qualche informazione in proposito:

    https://nikoscloud.wordpress.com/2013/04/23/how-to-secure-your-remote-desktop-server-with-gpo/


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    • Contrassegnato come risposta maverich1 mercoledì 2 dicembre 2015 20:40
    martedì 1 dicembre 2015 22:39

Tutte le risposte

  • Ciao, le restrizioni le applichi attraverso le policy. Potresti pensare ad una distribuzione web, questo ti permetterebbe di accedere attraverso un browser indipendentemente dal sistema operativo.

    Saluti

    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.


    martedì 1 dicembre 2015 09:52
    Moderatore
  • Ciao,

    Linux ha il suo client RDP. Per il resto sono d'accordo con Nino


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    martedì 1 dicembre 2015 10:00
  • Sì, ma potresti spiegarmi come procedere con le policy? è lì che mi fermo...

    Il nostro scopo sarebbe quello di creare dei thin client con dei pc normali, liberandoli dai problemi normali di avere un sistema operativo sotto (attualmente abbiamo XP, che non è + supportato) e che si avvi VELOCEMENTE

    Grazie, ciao

    martedì 1 dicembre 2015 10:27
  • No, purtroppo tutti trattano di RD web access, io uso RD non web.

    Possibile che tutti liquidino la questione che ho chiesto come "banale", ma nessuno mi sappia spiegare come si fa?

    Grazie lo stesso,

    martedì 1 dicembre 2015 20:12
  • RD Web Access dovrebbe richiedere comunque l'utilizzo di un sistema operativo Windows per funzionare correttamente, anche se le ultime versioni non utilizzano più controlli ActiveX compatibili solo con IE.

    In ogni caso puoi comunque risolvere il problema utilizzando altri client RDP disponibili anche per altri sistemi operativi (ad esempio Linux), anche se devi considerare che spesso non offrono le stesse prestazioni e tutte le funzionalità. I thin client Linux-based hanno software di connessione RDP proprietari che in genere vengono supportati dall'azienda stessa che produce l'hardware quindi a mio parere rimangono la scelta migliore in una situazione analoga alla tua.

    Per limitare le azioni devi sempre utilizzare le Group policy (locali al server o di dominio). Nel tuo caso penso che bastino i criteri "Esegui solo applicazioni Windows specificate", "Non eseguire le applicazioni Windows specificate" che trovi in Modelli amministrativi > Sistema o AppLocker per scenari più complessi. Per il pannello di controllo "Impedisci l'accesso al Pannello di controllo e a Impostazioni PC" sotto Modelli amministrativi > Pannello di controllo.




    martedì 1 dicembre 2015 22:30
    Moderatore
  • Scusa se mi permetto, ma mi pare che siano state date indicazioni molto precise, cos'é che non e ancora chiaro?

    - non sei vincolato a Windows, Linux ad esempi ha il suo client RDP

    - il lockdown si esegue con le GPO

    Questo articolo da qualche informazione in proposito:

    https://nikoscloud.wordpress.com/2013/04/23/how-to-secure-your-remote-desktop-server-with-gpo/


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    • Contrassegnato come risposta maverich1 mercoledì 2 dicembre 2015 20:40
    martedì 1 dicembre 2015 22:39
  • Grazie Fabrizio e aperelli, era proprio quello che cercavo, mi metto sotto e ci provo.

    saluti,

    mercoledì 2 dicembre 2015 20:41