none
能否防止RemoteApp用户登录RDS服务器的虚拟桌面? RRS feed

  • 问题

  • 用Win2012R2的RDS服务发布了一个应用供局域网用户使用,但发现有用户通过远程桌面客户端登录上了这台服务器。

    有什么办法能让用户只能使用RDS发布的应用,无法登陆远程桌面?


    2016年9月28日 8:03

答案

  • 有什么办法能让用户只能使用RDS发布的应用,无法登陆远程桌面?


    你好,

    我们可以把Custom User Interface 组策略设置配成 logoff.exe,路径是User Configuration\Administrative Templates\System

    组策略设置截图如下:

    我测试过了,用户可以正常访问RemoteApp,但是登录进 desktop session (包括远程和本地) 之后会直接注销。

    下面有个相关的英文链接:

    RemoteApp 2012 R2 Restrict Access to Session Host Desktop

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/397f14f9-bda3-4f16-af0f-347610b8ba28/remoteapp-2012-r2-restrict-access-to-session-host-desktop?forum=winserverTS

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Stanley_L 2016年9月30日 2:43
    2016年9月29日 9:21
    版主
  • Hi Stanley

    这是个用户策略,我们可以只把它应用在远程桌面用户组。

    但是如果直接给远程桌面用户组OU配置确实会导致这些用户在其他的机器上也出现登陆之后马上注销的现象,所以我建议你对RDS服务器启用 Loopback Processing,然后在RDS 服务器所处的OU GPO里配置上述用户配置,这样做的话可以仅对登陆到RDS 服务器的用户应用上述用户配置。

    具体来说,Loopback Processing Merge Replace两种模式,请根据需要来选择。

    下面有个英文文档有比较详细的解释:

    Windows Server: Understand “User Group Policy Loopback Processing Mode

    https://social.technet.microsoft.com/wiki/contents/articles/2548.windows-server-understand-user-group-policy-loopback-processing-mode.aspx

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月30日 1:09
    版主
  • Dear Stanley,

    我又测试了几遍,我们可以在 GPO Security Filtering 的部分把 Authenticated Users group remove 掉,然后把需要应用这个 GPO Computer 组(也就是RDS服务器组)和远程桌面用户组添加进去,这样,就只会把Custom User Interface 的配置应用给远程桌面用户组了,并不会影响到除此以外的用户账号。

    下面有个截图:

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月30日 2:33
    版主

全部回复

  • 有什么办法能让用户只能使用RDS发布的应用,无法登陆远程桌面?


    你好,

    我们可以把Custom User Interface 组策略设置配成 logoff.exe,路径是User Configuration\Administrative Templates\System

    组策略设置截图如下:

    我测试过了,用户可以正常访问RemoteApp,但是登录进 desktop session (包括远程和本地) 之后会直接注销。

    下面有个相关的英文链接:

    RemoteApp 2012 R2 Restrict Access to Session Host Desktop

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/397f14f9-bda3-4f16-af0f-347610b8ba28/remoteapp-2012-r2-restrict-access-to-session-host-desktop?forum=winserverTS

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Stanley_L 2016年9月30日 2:43
    2016年9月29日 9:21
    版主
  • Dear Amy,

    感谢您的回复。

    想确认一下,这个policy是设置在域组策略还是服务器的本地策略?

    如果是本地策略,会不会造成管理员也无法登录?

    如果是域组策略应用到普通用户的话,会不会造成他们在其他机器上也都无法登录?

    谢谢!

    Stanley

    2016年9月30日 0:46
  • Hi Stanley

    这是个用户策略,我们可以只把它应用在远程桌面用户组。

    但是如果直接给远程桌面用户组OU配置确实会导致这些用户在其他的机器上也出现登陆之后马上注销的现象,所以我建议你对RDS服务器启用 Loopback Processing,然后在RDS 服务器所处的OU GPO里配置上述用户配置,这样做的话可以仅对登陆到RDS 服务器的用户应用上述用户配置。

    具体来说,Loopback Processing Merge Replace两种模式,请根据需要来选择。

    下面有个英文文档有比较详细的解释:

    Windows Server: Understand “User Group Policy Loopback Processing Mode

    https://social.technet.microsoft.com/wiki/contents/articles/2548.windows-server-understand-user-group-policy-loopback-processing-mode.aspx

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月30日 1:09
    版主
  • Dear Amy,

    还是有点不明白:在RDS服务器启用Loopback Processing,并对RDS服务器所在OU应用Cutomer User Interface组策略后,怎么区分登录到RDS服务器的是管理员账户还是普通用户账户呢?

    Stanley

    2016年9月30日 2:01
  • Dear Stanley,

    我又测试了几遍,我们可以在 GPO Security Filtering 的部分把 Authenticated Users group remove 掉,然后把需要应用这个 GPO Computer 组(也就是RDS服务器组)和远程桌面用户组添加进去,这样,就只会把Custom User Interface 的配置应用给远程桌面用户组了,并不会影响到除此以外的用户账号。

    下面有个截图:

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月30日 2:33
    版主
  • Hi Amy,

    非常感谢你帮我解决了问题!

    Stanley

    2016年9月30日 2:44
  • It's my pleasure :)

    Best Regards,

    Amy


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月30日 2:45
    版主