none
Вопрос по Службам удаленных рабочих столов RRS feed

  • Вопрос

  • Настроил наконец я сервер удаленных рабочих столов.

    У меня вопрос.

    При подключении к серверу пользователь видит все возможность Windows 2016. Т.е. высвечивается диспетчер сервера, настройки, доступные администратору и т.д.

    Как сделать так чтоб пользователю это было недоступно?

    Только то что необходимо. 1с, гугл, word.

    Настраивал службы удаленных рабочих столов на основе сеансов.


    • Изменено oxigen11 15 мая 2018 г. 11:34

Ответы

  • В общем хотел всех 1с-ников вывести в терминал. Для этого и поднимал терминальный сервер. Настроил на нем развертывание рабочих столов на основе сеансов. Теперь при подключении пользователя ему доступны и настройки и диспетчер сервера и все на свете. 

    Я рассчитывал на то, что пользователей при подключении будет свой рабочий стол, в котором по настройке будет установлена уже 1с, гугл и скажем ворд.

     Как это сделать? Что я не так сделал?
    если вы пользюков не сделали админами, то они не могут изменять системные настройки, что бы запретить пользюкам все кроме положенного можно включить аплокер, сначала на аудит, а потом на блокировку, в таком случае рядовые будут получать красиво уведомление что в этой програмульке им не рады, а по любым вопросам обращаться к админу

    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Можете поподробней как это включить аплокер (или анлокер наверное) на аудит а потом га блокировку

    порадовали с анлокером :)

    Толковые статейки можно найти по запросу "configure applocker policy audit step by step"

    После настройки нужно понаблюдать за событиями и создать правила для пользюков.

    И еще понаблюдать что ничего за рамками правил никто не запускает. Если все ОК, сменить политику с аудита на блок и все.

    Важно не забывайте админов и системы не вносить в правила, и не удаляйте на всякий случай дефолтные правила для админов и системы.



    The opinion expressed by me is not an official position of Microsoft

    Модератор

Все ответы

  • меню пуск можно настроить дефолтному пользователю и все новые пользюки будут получать настроенное меню, тоже самое касается и меню быстрого доступа. делается геморно через настроку файлов на тестовом пользователе, экспорт конфига и импорт его в дефолт или копированием экспортированных файлов.

    инструкцию искали долго, но увы под руками ее нет :-(


    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Эти лицензии на устройства для 50 системных администраторов или как.

    Я ставил для себя задачу вывести всех 1с-ников в терминал. Что я не так сделал. Представляете 50 пользователем дать доступ к серверу.

    Рассчитывал, что у каждого свой рабочий стол типа Win 10. Но не как не сервер.

    Что посоветуете?

  • Эти лицензии на устройства для 50 системных администраторов или как.

    Я ставил для себя задачу вывести всех 1с-ников в терминал. Что я не так сделал. Представляете 50 пользователем дать доступ к серверу.

    Рассчитывал, что у каждого свой рабочий стол типа Win 10. Но не как не сервер.

    Что посоветуете?


    воу-воу не так резко. вы о чем?

    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • В общем хотел всех 1с-ников вывести в терминал. Для этого и поднимал терминальный сервер. Настроил на нем развертывание рабочих столов на основе сеансов. Теперь при подключении пользователя ему доступны и настройки и диспетчер сервера и все на свете. 

    Я рассчитывал на то, что пользователей при подключении будет свой рабочий стол, в котором по настройке будет установлена уже 1с, гугл и скажем ворд.

     Как это сделать? Что я не так сделал?
  • В общем хотел всех 1с-ников вывести в терминал. Для этого и поднимал терминальный сервер. Настроил на нем развертывание рабочих столов на основе сеансов. Теперь при подключении пользователя ему доступны и настройки и диспетчер сервера и все на свете. 

    Я рассчитывал на то, что пользователей при подключении будет свой рабочий стол, в котором по настройке будет установлена уже 1с, гугл и скажем ворд.

     Как это сделать? Что я не так сделал?
    если вы пользюков не сделали админами, то они не могут изменять системные настройки, что бы запретить пользюкам все кроме положенного можно включить аплокер, сначала на аудит, а потом на блокировку, в таком случае рядовые будут получать красиво уведомление что в этой програмульке им не рады, а по любым вопросам обращаться к админу

    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • В общем хотел всех 1с-ников вывести в терминал. Для этого и поднимал терминальный сервер. Настроил на нем развертывание рабочих столов на основе сеансов. Теперь при подключении пользователя ему доступны и настройки и диспетчер сервера и все на свете. 

    Я рассчитывал на то, что пользователей при подключении будет свой рабочий стол, в котором по настройке будет установлена уже 1с, гугл и скажем ворд.

     Как это сделать? Что я не так сделал?

    если вы пользюков не сделали админами, то они не могут изменять системные настройки, что бы запретить пользюкам все кроме положенного можно включить аплокер, сначала на аудит, а потом на блокировку, в таком случае рядовые будут получать красиво уведомление что в этой програмульке им не рады, а по любым вопросам обращаться к админу

    The opinion expressed by me is not an official position of Microsoft

    Можете поподробней как это включить аплокер (или анлокер наверное) на аудит а потом га блокировку
  • Можете поподробней как это включить аплокер (или анлокер наверное) на аудит а потом га блокировку

    порадовали с анлокером :)

    Толковые статейки можно найти по запросу "configure applocker policy audit step by step"

    После настройки нужно понаблюдать за событиями и создать правила для пользюков.

    И еще понаблюдать что ничего за рамками правил никто не запускает. Если все ОК, сменить политику с аудита на блок и все.

    Важно не забывайте админов и системы не вносить в правила, и не удаляйте на всякий случай дефолтные правила для админов и системы.



    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Честно говоря не нашел толком нормальную статью. Можете ли дать нормальную ссылку на нормальную статью. Не обессудьте. То, о чем вы говорили выше мне вообще незнакомо и с чего начать и какую статью выбрать мне непонятно. Прошу помочь. Заранее благодарен
    12 июня 2018 г. 7:42
  • Нашел вот такую статью. Она подойдет?

    https://mizitechinfo.wordpress.com/2013/08/09/simple-step-configuring-applocker-in-windows-server-2012-r2/

    12 июня 2018 г. 7:53
  • Честно говоря не нашел толком нормальную статью. Можете ли дать нормальную ссылку на нормальную статью. Не обессудьте. То, о чем вы говорили выше мне вообще незнакомо и с чего начать и какую статью выбрать мне непонятно. Прошу помочь. Заранее благодарен

    Официальная дока, в ней пройдитесь с левой стороны сверху вниз

    The opinion expressed by me is not an official position of Microsoft

    12 июня 2018 г. 8:50
    Модератор
  • Нашел вот такую статью. Она подойдет?

    https://mizitechinfo.wordpress.com/2013/08/09/simple-step-configuring-applocker-in-windows-server-2012-r2/


    Вполне неплохая статья

    The opinion expressed by me is not an official position of Microsoft

    12 июня 2018 г. 8:55
    Модератор
  • Скажите в моей статье в пункте 1 обязательно компьютер добавлять. Пользователя можно?
    12 июня 2018 г. 9:40
  • Скажите в моей статье в пункте 1 обязательно компьютер добавлять. Пользователя можно?

    эмнип аплокера нет в разделе пользователей.

    кого из пользюков притеснять, а кого нет вы настраиваете внутри политики


    The opinion expressed by me is not an official position of Microsoft

    12 июня 2018 г. 10:56
    Модератор
  • Еще скажите один вопрос.

    Там все действия выполняются на контроллере домена.

    У меня ситуация следующая

    Есть ADCC - контроллер домена

    TS -терминальный сервер

    и compTS - рабочая станция которая будет подключаться к терминальному серверу.

    Мне так же выполнять все действия на контроллере домена?

    12 июня 2018 г. 14:40
  • То есть я так понял мне нужно только TS в первом шаге добавить так? А не клиентские машины.
    12 июня 2018 г. 14:48
  • То есть я так понял мне нужно только TS в первом шаге добавить так? А не клиентские машины.

    applocker'ом вы можете рулить как через локальные политики, так и через доменные. если вам нужно притеснять пользюков только на TS можете создать политику доменную и натравить на свой TS, или настроить все непосредственно на TS.

    груповые удобно тем что если у вас появится TS2, TS3 ... TSn - то у вас все будет  работать после применения политики и не будет требовать изменений. В локальной же политике при наличии нескольких серверов вам придется актуализировать настройки вручную.

    что до рабочих станций, то аплокер работает только на энтерпрайзных ос - если у вас именно такие можно настроить аплокер и на раб станциях и запретить запускать все включая меилру браузеров и пр. софта который не требует прав админа для установки.

    применять политику на кд смысла особо нет, так как на кд пользюки ходить не должны.

    настраивать gpo можете как на админском пк с rsat так и с кд (разницы быть особой не должно)


    The opinion expressed by me is not an official position of Microsoft

    12 июня 2018 г. 15:02
    Модератор
  • дошел до 13 пункта. Выполнил Gpresult / г. Не применил он групповую политику. Почему?

    Local Group Policy пишет.

    • Изменено oxigen11 12 июня 2018 г. 15:26
    12 июня 2018 г. 15:24
  • Вообще не пойму что и как?

    Вообщем ,у меня 50 клиентских машин. 

    Хочу чтоб они, все подключались по RDP к TS , там работали в 1с, офис и интернет.

    Но при подключении к TS доступны всякие диспетчер серверов и много еще им не нужного.

    Что я сделал. Проделал все шаги с 1 по 13  в своем AD DC. 

    В пункте 1 в раздел ComSystem Laptop добавил свой TS.

    Зашел под тестовым пользователем в TS.

    В пункте 13 проверил командой Gpresult / г. Политика не применилась.

    Осталась политика Local Group Policy.

    Что конкретно не так сделал?


    • Изменено oxigen11 12 июня 2018 г. 15:43
    12 июня 2018 г. 15:41
  • проверяйте 11 и 12 шаги. 

    можете скринов напилить сюда - в двоем посмотрим

    так же проверьте что в ou на которую линкуете политику находится ваш ts. gpupdate /force + перезагрузка так же не помешают

    проверьте что в настройках безопасности вашей политики есть группа authenticate users или ваш ts.

    p.s. подключаться будут не 50 клиентских машин а 50 пользователей, а вот откуда они это будут делать абсолютно не важно


    The opinion expressed by me is not an official position of Microsoft

    12 июня 2018 г. 15:56
    Модератор
  • Это управление групповой политикой на контроллере домена
    12 июня 2018 г. 16:30
  • Проверяйте gpresult под админом, так как предположу что ваш тестовый пользюк может не иметь прав на чтение этой политики

    Смотрите что в gpresult /h test.htm, и в rsop - там могут быть отображены политики


    The opinion expressed by me is not an official position of Microsoft


    12 июня 2018 г. 16:31
    Модератор
  • Список применимых объектов групповой политики: Local Group Policy

                                                                                   Default Domain Policy

                                                                                    GPO терминального сервера

    Получается политика применилась?

    вот эт, команду использовал 
    GPResult /h GPResult.html & GPResult.html
    • Изменено oxigen11 12 июня 2018 г. 17:35
    12 июня 2018 г. 17:33
  • Да , то, что кроме моей новой политики применяется еще две это ничего?
    12 июня 2018 г. 17:37
  • Все есть в групповых политиках
    12 июня 2018 г. 17:53
  • Так же как и в статье запретил выполнения приложений из Windows. Написал батник и попробовал запустить. Батник сработал. Опять что то не так. Подскажите
    12 июня 2018 г. 17:58
  • Что именно?
    12 июня 2018 г. 18:01

  • The opinion expressed by me is not an official position of Microsoft

    12 июня 2018 г. 18:09
    Модератор
  • Так же как и в статье запретил выполнения приложений из Windows. Написал батник и попробовал запустить. Батник сработал. Опять что то не так. Подскажите
    вы события в логе видите? В логах должно быть зафиксировано правило по которому вам разрешили или не разрешили выполнять то или иное ПО. Если проверяете под админом - учтите что в дефолтных политиках админу разрешено выполнение всего и вся. Ограницения по умолчанию накладываются на пользователей которые не входят в админ группы.

    The opinion expressed by me is not an official position of Microsoft

    12 июня 2018 г. 18:13
    Модератор
  • Да , то, что кроме моей новой политики применяется еще две это ничего?

    Так же как и в статье запретил выполнения приложений из Windows. Написал батник и попробовал запустить. Батник сработал. Опять что то не так. Подскажите

    • Изменено oxigen11 12 июня 2018 г. 18:13
    12 июня 2018 г. 18:13
  • Что именно?

    Что, "что именно"?

    The opinion expressed by me is not an official position of Microsoft

    12 июня 2018 г. 18:13
    Модератор
  • Все есть в групповых политиках
    Иван, мы их (политики) тут уже 20 сообщений обсуждаем. Пожалуйста если у вас есть что написать, напишите, если нет, то какой смысл писать сообщения без особого смысла...

    The opinion expressed by me is not an official position of Microsoft

    12 июня 2018 г. 18:17
    Модератор
  • Так. Только дошло. На контроллере домена настраиваем Applocker. Так? Если добавить правило, которое будет разрешать скажем запуск Adobe Reader. как указать его в Applocker или я что то не так понял? Приложение ведь на TS находится. Я понимаю еслиб TS и AD были бы на одной машине.
    • Изменено oxigen11 12 июня 2018 г. 18:41
    12 июня 2018 г. 18:40
  • Выполнение %SYSTEM32%\MMC.EXE было разрешено, но оно могло быть запрещено, если бы использовалась политика AppLocker.

    Вот что нашел. 

    12 июня 2018 г. 18:47
  • Получается Applocker нужно настраивать на TS??
    12 июня 2018 г. 18:48
  • Получается Applocker нужно настраивать на TS??

    Добрый День.

    Определенно ДА, но не на dc однозначно... в смысле применить политику GPO с параметрами AppLocker только к ts, настраивать ее можно и на dc и на пк с установленным rsat


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.


    12 июня 2018 г. 19:01
    Модератор
  • Где находится настройка applocker на TS?
    12 июня 2018 г. 19:13
  • Редактор групповой политики на TS, есть, Аа управление групповой политикой нет. Установить надо?

    • Изменено oxigen11 12 июня 2018 г. 19:17
    12 июня 2018 г. 19:15
  • Нет наверное как то по другому
    12 июня 2018 г. 19:19
  • давайте введем некоторую ясность в терминологии:

    Настраивать любую доменную политику (gpo/gpp) вы можете или на контроллере домена или на админском пк с установленным rsat . Это значит что создать доменную политику вы физически не сможете на другом сервере/пк по причине отсутсвия консоли для управления доменными груповыми политиками.

    Созданную и настроенную доменную политику вы можете применить на OU с пк/серверами/пользователями.

    Итак: настраиваете на контроллере домена или на машине с rsat, применяете на OU в которой находится ваш TS.

    В этой схеме не рассмотрены (осознанно) локальные политики, дабы вас не запутывать


    The opinion expressed by me is not an official position of Microsoft

    12 июня 2018 г. 19:19
    Модератор
  • Итак: настраиваете на контроллере домена или на машине с rsat, применяете на OU в которой находится ваш TS.


    Нифига не пойму где это? В Applockere на AD? и где в TS?
    12 июня 2018 г. 19:30
  • Сам себя завел в заблуждение. В Applocker, в свойствах стоял только аудит. Поставил принудительное применение правил заработало.
    12 июня 2018 г. 19:39
  • следующий вопрос. Как сделать чтоб не применялись политики на Администраторов?
    12 июня 2018 г. 19:51
  • следующий вопрос. Как сделать чтоб не применялись политики на Администраторов?

    в п.7 вам рекомендовали создать дефолтные правила - они разрешают админам все.

    дополнительные настройки смотрите в п. 16.

    именно там вы можете рулить кому разрешать, а кому запрещать что либо.

    см. 3е правило на картинке


    The opinion expressed by me is not an official position of Microsoft

    12 июня 2018 г. 20:04
    Модератор
  • Не знаю с чем связано. Вообщем выручайте. После всех процедур к TS перестали пользователи подключаться. Причем любые. Соединение и аутентификация проходят и перед отображением рабочего стола окно закрывается. Отключил Applocker. Проблема не исчезла. Так как это терминальная машина решил посмотреть состояние  в Hyper V. Результат черный экран. Машина работает. В Событиях ошибок нет. Виртуальная машина успешно запущена.
    12 июня 2018 г. 20:26
  • Не знаю с чем связано. Вообщем выручайте. После всех процедур к TS перестали пользователи подключаться. Причем любые. Соединение и аутентификация проходят и перед отображением рабочего стола окно закрывается. Отключил Applocker. Проблема не исчезла. Так как это терминальная машина решил посмотреть состояние  в Hyper V. Результат черный экран. Машина работает. В Событиях ошибок нет. Виртуальная машина успешно запущена.

    Добрый День.

    Вы создавали правила по умалчиванию в политики AppLocker? Если нет то возможно это последствие ваших действий...

    Как отключили политику?

    После отключения GPO с параметрами AppLocker сервер перезагружали?


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.


    12 июня 2018 г. 21:13
    Модератор
  • Неоднократно. Даже сетевой адаптер выключил.
    13 июня 2018 г. 4:48
  • В безопасном режиме запустил
    13 июня 2018 г. 5:01
  • про аудит я писал не с проста

    смотрите события applocker'a на TS, скорее всего что-то блокируется, что не должно.


    The opinion expressed by me is not an official position of Microsoft

    13 июня 2018 г. 5:45
    Модератор
  • как теперь снять запрет? Ведь Applocker отключил
    • Изменено oxigen11 13 июня 2018 г. 14:17
    13 июня 2018 г. 14:16
  • как теперь снять запрет? Ведь Applocker отключил

    Добрый День.

    Политика обновилась на проблемном сервере?


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    13 июня 2018 г. 14:20
    Модератор
  • не могу зайти. так же черный экран. Доступ из безопасного режима только
    13 июня 2018 г. 14:28
  • есть 2 варианта отключить службу которую вы включали политико или включить политику и создать разрешающее правило / включить назад аудит.

    пс плохая практика ломать сервера в проде. заведите под эти цели лабу, что бы у вас над головой пользюки не мельтишили в таких случаях


    The opinion expressed by me is not an official position of Microsoft

    13 июня 2018 г. 14:29
    Модератор
  • На AD службы удостоверения приложения и управление приложениями были и так выключены.

    Включил на аудит все по умолчанию. Запустил выше описанные службы. Перезапустил сервер - результат отрицательный

    13 июня 2018 г. 14:47
  • не могу зайти. так же черный экран. Доступ из безопасного режима только

    Добрый День.

    ЕМНИП, у вас два варианта:

    1.) Остановить службу  Удостоверение приложения и перевести ее в статус Отключена.

    2.) Правка реестра


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    13 июня 2018 г. 14:55
    Модератор
  • На AD службы удостоверения приложения и управление приложениями были и так выключены.

    Включил на аудит все по умолчанию. Запустил выше описанные службы. Перезапустил сервер - результат отрицательный

    так а при чем тут ад? вы службы то включали через политику на TS

    The opinion expressed by me is not an official position of Microsoft

    13 июня 2018 г. 15:11
    Модератор
  • Не пойму. Какую уже службу отключить. Уже все отключил.
    13 июня 2018 г. 17:12
  • Не пойму. Какую уже службу отключить. Уже все отключил.

    Добрый День.

    Вам ранее написали:

    Загрузитесь в режиме Safe Mode на сервере ts, На сервере ts не dc, Остановите службу  Удостоверение приложения и управление приложениями, перевести ее в статус Отключена, после чего перезагрузить сервер в обычном режиме


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.


    13 июня 2018 г. 18:07
    Модератор
  • Почему то входил под временным пользователем. Поэтому и не давал ее остановить. Переустановил Windows. Буду заново настраивать. Тема закрыта
    14 июня 2018 г. 4:46