Я установил службы удаленных рабочих столов на моем Windows 2008 Server, и у меня возникли проблемы с разрешениями. Я создал объект групповой политики, который удаляет административные инструменты из меню «Пуск», но обычные пользователи могут получить доступ к этим инструментам через обычную панель управления. Однако пользователи могут только читать и ничего не менять.
Следует отметить, что на этом сервере также работает Контроллер домена, что не рекомендуется, поскольку нужно удалить возможность чтения данных с DC.
Что было бы лучше всего, чтобы убрать даже способность читать?
Если ваши пользователи не являются администраторами домена или локального администратора, не волнуйтесь. Они не могут использовать эти инструменты для нанесения ущерба. Ничто, видимое на сайтах и службах Active Directory, ничего не раскрывает.
Чтобы проверить это, создайте нового пользователя и не делайте с ним ничего, если бы HR вошел в ваш офис и сказал вам создать нового сотрудника в домене.
Если у ваших пользователей есть локальный администратор, то не важно что, они будут способны Вещи, которые вам не нужны.
Хотя ваша ситуация не рекомендуется, если вы должны разрешить пользователям доступ к серверу через RDS, вы должны убедиться, что у пользователей нет доступа к панели управления, что вы можете сделать через GPO по адресу:
Конфигурация пользователя | Политики | Административные шаблоны | Панель управления | Запретить доступ к панели управления