Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » TS Remote App и запрет удаленного радочего стола

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

CiJay

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!Задача такая:Есть Win 2008 Server Standart с TS . Как сделать так,чтобы определенные пользователи запускали определенные программы,используя rdp файлы,но при этом не имели бы возможность запуска удаленного рабочего стола, используя свои логин, пассворд.

Всего записей: 4 | Зарегистр. 21-12-2007 | Отправлено: 10:06 31-10-2009
anton04



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CiJay
 
Никак. Почитай сначало о том что такое TS Remote App, а потом задавай такие глупые и бесмысленные вопросы.

Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 13:21 31-10-2009
CiJay

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anton04,умник,что такое RemoteApp прекрасно знаю и тем более использую,но что мне не нравится,так это то,что пользователь может запускать не только данную ему программу(rdp файл),а успешно логинится на TS и запускать другие программы.
anton04,что то я не помню,что бы мы на "ты" переходили.

Всего записей: 4 | Зарегистр. 21-12-2007 | Отправлено: 19:16 31-10-2009
anton04



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CiJay
 
Если вы знаете, что есть технология сервера терминала, то таких откровенно глупых (только не надо хмурить лоб, без обид ) вопросов у Вас бы не возникало.
 
P.S. При запуске rdp файла происходит запуск сценария автоматического запуска, т.е. заход на сервер терминалов и запуск определённого приложения и бесшовном режиме. И всё. И как вы, собираетесь в этом случае запретить заход пользователям в сервер терминалов!? Единственное, что вы можете сделать это ограничить запуск приложений на сервере терминалов посредством GPO домена.

Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 21:40 31-10-2009
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anton04
CiJay
если я правильно помню, то в свойствах RDP на сервере можно настроить кому что разрешено запускать... помимо GPO...

Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 21:46 31-10-2009
CiJay

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anton04,я не сис.админ,а интересующийся пользователь TS и мне интересно,почему я могу залогинится через Remote Desktop и запустить вообще любую программу.
Alukardd,спасибо,именно то что нужно:настроить TS таким образом,чтобы даже если пользователь залогинился на серевер через Remote Desktop,то ему бы была доступна только одна программа.

Всего записей: 4 | Зарегистр. 21-12-2007 | Отправлено: 23:55 31-10-2009
anton04



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd

Цитата:
то в свойствах RDP на сервере можно настроить кому что разрешено запускать

 
Это те же политики только локальные. Я предлогал решить всё через доменные, что есть более гибко/правильно.
 
CiJay

Цитата:
я не сис.админ

 
Тогда вы новерное читали название топика В помощь системному администратору
 

Цитата:
и мне интересно,почему я могу залогинится через Remote Desktop и запустить вообще любую программу.

 
Тогда так вопрос и нужно было задавать Какой вопрос таков ответ.

Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 21:21 01-11-2009 | Исправлено: anton04, 22:12 01-11-2009
CiJay

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
anton04,да,читал название, только я написал,что интересуюсь,заходя в этот раздел.Давайте не будем выяснять зачем мне это и т.д.,если я не сис. админ.
Хорошо,ставлю вопрос правильно:
Как разрешить пользователю запускать только одну программу.И ,например,если эта программа Internet Explorer,как разрешить посещать только определенные хосты встроенными средствами.

Всего записей: 4 | Зарегистр. 21-12-2007 | Отправлено: 00:16 02-11-2009
anton04



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CiJay
 

Цитата:
только я написал,что интересуюсь

 
Где!?
Цитата:
Задача такая:...

 

Цитата:
Давайте не будем выяснять зачем мне это

 
Дорогой вы мой, да мне пофиг зачем Вам это нужно, я всё это время допытываюсь у вас это узнать только по одной причине, а именно что неполнота Вашего вопроса (задачи) ведёт к множеству (превалирующим в бесконечность) вариантов ответов.
 

Цитата:
Как разрешить пользователю запускать только одну программу

 
На это вам уже ответили, GPO и политика ограничения запуска программ.
 

Цитата:
если эта программа Internet Explorer,как разрешить посещать только определенные хосты встроенными средствами.

 
А вот это уже другая история и самому главному вопросу не имеет отношения.
Насколько мне известно, то это делается посредством proxy сервера (более гибко и правильно) или с помощью какой либо тупой софтины на самом сервере (софтин таких море).
 
P.S. И то и другое можно организовать имея исключительно административный доступ к системе.

Всего записей: 2803 | Зарегистр. 14-06-2006 | Отправлено: 08:11 02-11-2009 | Исправлено: anton04, 08:14 02-11-2009
SeriusDanil

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В настройках RDP указывая группы пользователей которым разрешено коннектиться к серверу терминалов можно жестко указать многие параметры которые перекроют настройки пользователя в том числе и запускаемую программу. В этом случае пользователь входящий в определенную группу будет получать только то что ему разрешено (в вашем случае IE). Ограничение списка хостов доступных из IE с сервера терминалов настраивается на прокси.

Всего записей: 371 | Зарегистр. 30-09-2005 | Отправлено: 11:08 02-11-2009
VZ0101

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SeriusDanil, можно подробнее, как это реализовать?

Всего записей: 72 | Зарегистр. 26-10-2009 | Отправлено: 00:58 03-10-2010
s20s

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
CiJay, прочтите внимательно это http://social.technet.microsoft.com/Forums/ru-RU/ws2008r2ru/thread/c52ed594-d9f3-4514-a3b7-96d31e6c51ca
 
а Вы уважаемый anton04, научитесь давать неглупие ответы! Мне было неприятно читать Ваши реплики.

Всего записей: 1 | Зарегистр. 20-03-2007 | Отправлено: 13:14 16-12-2010
botva0



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
хотя тема и старая, но проблема актуальна, поэтому напишу один из путей решения.
мне нужно было проделать такое только с одним пользователем, поэтому я решил ее через настройку среды конкретного пользователя. если же нужно применять подобные действия к группе пользователей, то добро пожаловать в групповые политики, где и настраиваем все по аналогичному принципу.
итак, для пользователя:
заходим в свойства пользователя и переходим на вкладку "среда".
в строке "при входе в систему запускать следующую программу" прописываем:

Код:
%systemroot%\system32\logoff.exe

в результате пользователь свободно запускает приложения через remoteapp, но при попытке входа на удаленный рабочий стол, его сеанс автоматически завершается.

Всего записей: 202 | Зарегистр. 05-04-2009 | Отправлено: 11:43 30-06-2014 | Исправлено: botva0, 13:56 30-06-2014
DARKPORT

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
botva0

Цитата:
в результате пользователь свободно запускает приложения через remoteapp, но при попытке входа на удаленный рабочий стол, его сеанс автоматически завершается.

 
а теперь запустите приложение через remoteapp и нажмите Ctrl+Alt+End

Всего записей: 21 | Зарегистр. 17-10-2007 | Отправлено: 15:56 08-09-2015
botva0



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
DARKPORT
для таких талантов есть твик реестра, который запрещает диспетчер задач для конкретного пользователя. ну или через локальные политики его запретить.

Всего записей: 202 | Зарегистр. 05-04-2009 | Отправлено: 12:31 16-02-2016 | Исправлено: botva0, 12:36 16-02-2016
khanovsa

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
У меня получилось сделать попроще для сервера не в домене, в групповой политике:
1) Включил по умолчанию Уровень безопасности "Запрещено"
2) Выставил в  "Применение" "всех пользователей, кроме локальных администраторов"
3) Создал в дополнительных правилах по пути следующие ехе-шники:
c:\Windows\System32
dwm.exe
rdpclip.exe
rdpinit.exe
rdpshell.exe
rundll32.exe
userinit.exe
taskhost.exe
и исполняемый файл своей программы для RemoteApp
 
В результате доступ RemoteApp работает, а полноценный раб стол нет.
Если запретить пользователям модификацию и удаление exe-шника моей программы, то получим изолированный сервер с которого нельзя никоим образом извлечь информацию. Это, конечно, при условии, что в настройках пользователя будет запрещено перенаправление всех устройств и выключен буфер обмена. У себя я также отключил в настройках сетевухи Службу доступа к файлам и принтерам.

Всего записей: 1 | Зарегистр. 30-11-2015 | Отправлено: 17:25 23-07-2016
MAXXAA

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
День добрый.
может пригодиться кому  
как развитие темы предложенной человеком
Цитата:
botva0
 

 
 
Задача - управлять путем членства в группах режимом доступа (только remotApp или оба способа)
Реализация
на группу которой я разрешаю терминальный вход на этот сервер (любой способ) вешаю политику, которая запускает скрипт (не logon_script)
 
 
User Configuration
Administrative Templates
Windows Components/Terminal Services
Policy  
Start a program on connection Enabled  
Program path and file name C:\AdminTools\NoRDP.cmd   ( ПУТЬ к локальной папке на сервере терминалов)
 
содержимое cmd
----
@echo off
powershell -WindowStyle Hidden -File "C:\AdminTools\RDP.ps1"
----
 
содержимое PS1
 
-----------
# Скрипт проверки входит ли пользователь в группу.
# Если пользователь не входит в СПЕЦ группу - "разлогиниваем" его.
# Скрипт нужен для предотвращения интерактивного входа пользователей на сервер терминалов.
 
$Checkme = whoami /groups | Select-String -Pattern "TerminalAdmins" -SimpleMatch -Quiet
if ($Checkme -eq $true){explorer.exe}
    else {logoff.exe}
---------------
 
в моем случае группа "TerminalAdmins" - это те кто могут заходить в режиме раб.стола
 
 
ps script родом с TechNet
 
 

Всего записей: 86 | Зарегистр. 25-12-2006 | Отправлено: 11:54 25-07-2016 | Исправлено: MAXXAA, 11:56 25-07-2016
milenius

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем привет. Я этот вопрос тешил так:
Я на локальных ПК сам делал первое подключение, через созданный .RDP файл.
Ставил галку "Сохранить Пароль". И можно было подключиться к RemoteApp, только, через запуск файл.RDP   т.е. пароль никто не знает, что-бы подключиться просто к Удаленному Рабочему Столу, не считая тех, кто может его (пароль) выковырять из локальной Винды. Опять же будет сложно, потому-что все сотрудники заходят на свои ПК с правами Пользователя...
 
Это было предположение! Проверил... Пароль запоминается системой и обычное подключение по RDP происходит, без запроса парля !

Всего записей: 1 | Зарегистр. 18-12-2008 | Отправлено: 20:40 30-08-2016 | Исправлено: milenius, 20:57 30-08-2016
igor me v2

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ну если вы решили поделится этим, то я тоже просто так напомню, что собссссно подключение можно и не делать, а control usepassword2 и там просто сохранить нужный логин и пароль. Но у меня кстати политика другая, я НАОБОРОТ не ставлю и не рекомендую ставить эту галку

Всего записей: 7213 | Зарегистр. 27-03-2016 | Отправлено: 01:46 31-08-2016
Sunnych



Full Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
установлен Windows Server 2016 Datacentr x64 ru без AD (таких серверов 4ре штуки), RemoteApp не запущен так как на серверах не поднят AD:
Указываю пользователям - "Среда"-"Запуск программы" но при входе пользователя у него запускается рабочий стол.
Указывал и в локальных политиках: gpedit.msc
"Конфигурация компьютера"-"Административные шаблоны"-"Компоненты Windows"-"Службы удаленных рабочих столов"-"Узел сеансов удаленных рабочих столов"---
"Подключения":
""Разрешать удаленный запуск любых программ""->Включена
"Среда удаленных сеансов"
""Всегда отображать рабочий стол при подключении""->Отключена
 
И все равно при входе пользователя он попадает на рабочий стол сервера, подскажите где искать

Всего записей: 409 | Зарегистр. 14-02-2006 | Отправлено: 15:33 16-07-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » TS Remote App и запрет удаленного радочего стола


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru