none
Ограничение прав пользователей удалённых рабочих столов RRS feed

  • Общие обсуждения

  • Имеем:

    Windows server 2008R2 с ролью "Узел удалённых рабочих столов", сервер находится в домене (сам не является контроллером домена).

    С помощью "Диспетчера удалённых приложений RemoteApp" расшарен Internet Explorer. C помощью RDP-файла IE запускается на клиентских машинах.

    Проблема1:

    Пользователь, после запуска "терминального" IE, может в строке поиска ввести "С:\", тем самым открыв проводник и уже оттуда запускать другие ("не расшаренные" через RemoteApp) приложения.

    В настройках RemoteApp запрещён запуск "не расшаренных" приложений:

     

    Пользователи состоят только в группе "Пользователи удалённого рабочего стола", не являются администраторами.

    Как же всё-таки запретить пользователям запуск всех приложений кроме IE?

    Проблема2:

    Пользователям разрешено сохранять из IE файлы. Причём сохранить можно только в папку со своим профилем на сервере, запрещено сохранять на локальную машину и съёмные носители.

    Как сделать эту папку профиля доступной с локального компьютера пользователя для последующего использования сохранённых файлов?

    Пользователь должен видеть только свои файлы и не иметь доступа к профилям других пользователей.

    И ещё мини-вопрос: кому-то удалось расшарить через RemoteApp какой-либо браузер отличный от IE? У меня Chrome показывает только серую страницу, а Opera вылетает с ошибкой сразу после запуска. При этом через RDP всё работает отлично.



    • Изменено Solar1011 8 ноября 2012 г. 9:48
    • Изменен тип Rotar MaksimModerator 30 ноября 2012 г. 10:34 Тема переведена в разряд обсуждений по причине отсутствия активности
    8 ноября 2012 г. 8:16

Все ответы

  • 1. использовать software restriction policy

    2. проще мапить удаленный диск пользователя и сохранять сразу на него.

    8 ноября 2012 г. 9:47
    Модератор
  • 1. использовать software restriction policy

       Уж что-то слишком серьёзные меры. Да и сложно будет создавать отдельные политики для разных групп пользователей. Неужели нет более аккуратного способа? Разве опция выбранная на скриншоте не должна ограничивать доступ к не расшаренным прогам?!

    2. проще мапить удаленный диск пользователя и сохранять сразу на него.

    Сохранять можно только на сервак. Постоянно должна быть возможность просмотра того что юзер накачал.

    • Изменено Solar1011 8 ноября 2012 г. 10:13
    8 ноября 2012 г. 10:07
  • 1. опция запрещает запускать левые проги при подключении, то есть прописывать в свойствах rdp клиента

    2. ну тогда только если расшаривать папки на сервере этим пользователям, что далеко не всегда реализуемо и это весьма кривое решение.

    8 ноября 2012 г. 13:40
    Модератор
  • Добрый день!

    У меня реализовано так:

    1) На файловой помойке создана персональная папка для каждого пользователя (создается и мапится на диск P логон-скриптом им же назначаются права) 

    2) В локальной политике для пользователей тупо закрыты все локальные диски сервера

    9 ноября 2012 г. 6:44
  • локальная политика делает их неотоборажаемыми в обычном explorer, а не закрывает. тупо набрав путь к проге юзер ее запустит без проблем

    9 ноября 2012 г. 8:52
    Модератор
  • 1. На мой взгляд, SRP обязана быть настроенной на всех машинах без исключения, что позволяет говорить об этом как о стандартном решении, а не "слишком серьёзных мерах". Это решение столь же стандартно, как и "работать исключительно с привилегиями стандартного пользователя". Попробуйте, это не столь страшно.

    2. А ради чего вы играетесь с версиями браузеров, чисто ради интересу?


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    13 ноября 2012 г. 8:39
    Отвечающий
  • 2. А ради чего вы играетесь с версиями браузеров, чисто ради интересу?

    Мне нужно запустить через RemoteApp любой браузер отличный от IE

    13 ноября 2012 г. 12:22
  • Solar1011, удалось ли Вам найти решение?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    20 ноября 2012 г. 12:59
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    26 ноября 2012 г. 14:13
    Модератор
  • Тема переведена в разряд обсуждений по причине отсутствия активности

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    30 ноября 2012 г. 10:34
    Модератор