Назад | Перейти на главную страницу

Какова ваша базовая групповая политика блокировки для серверов служб терминалов

Я ищу указания по некоторым общим параметрам для настройки групповой политики сервера служб терминалов. Он работает под управлением Server 2003 Standard и одновременно обслуживает около 20 человек.

Очевидно, вы можете получить очень подробный и ограничительный подход, но я ищу хороший общий базовый план для начала, который уравновешивает безопасность и удобство использования. Буду подправлять по мере необходимости.

Мои общие требования:

Вы получите подавляющее большинство того, что хотите, если пользователи будут работать с непривилегированными учетными записями. Если вы позволяете пользователям работать с учетными записями «Администратор» на вашем терминальном сервере, вы просите уничтожить ящик почти немедленно. (Кроме того, пользователи не должны даже использовать свои настольные ПК для повседневной работы с правами «Администратора». Компьютер с терминальным сервером - это просто большой, многоголовый ПК, ничем не отличающийся от настольных ПК в этом отношении. .)

Кроме того, похоже, вам понадобится перенаправление папок, чтобы получить «Мои документы» (и, возможно, папки «Рабочий стол» и «Данные приложения») на сервер, где вы хотите хранить пользовательские данные. На самом деле вы не сможете помешать пользователям сохранять в пользовательских каталогах «Temp» или в их пользовательских профилях (без нарушения работы ОС). Перенаправление папок и обучение пользователей - ваши друзья. Однако отсутствие прав «Администратора» серьезно ограничит количество мест, где пользователи могут хранить файлы, и повысит вероятность того, что они сохранят файлы в нужном месте.

Обычно я использую объект групповой политики, установленный в режиме «Заменить» обработки политики обратной связи, применяемый к OU с компьютерами терминального сервера в нем. (Это отличное приложение для обработки политики loopback групповой политики - вы должны прочитать о нем.)

Я заполняю этот объект групповой политики с обратной связью всеми настройками для каждого пользователя, которые я хочу применить к пользователям терминального сервера (обычно настройки Microsoft Office, перенаправление папок, настройки внешнего вида Windows и т. Д.).

Если у вас несколько серверов терминалов, я бы рекомендовал настроить перемещаемый профиль пользователя терминальных служб для каждого пользователя (в место, отличное от их обычного перемещаемого профиля пользователя Windows), чтобы их среда терминальных служб "следовала" за ними между разными машинами терминального сервера. .

Редактировать:

Если вы решили, что хотите ограничить количество программ, запускаемых пользователем, я предлагаю вам взглянуть на «Политики ограниченного использования программ» (см. http://technet.microsoft.com/en-us/library/bb457006.aspx). Вы можете запретить пользователям запускать приложения, кроме тех, которые хранятся по определенным путям (в местах, где пользователям запрещено писать - «\ Program Files ...», «\ Windows» и т. Д.) Или которые имеют определенные цифровые подписи. Если кто-то загрузит EXE в свой каталог% TEMP% (место, где им разрешено писать), он обнаружит, что Windows не выполнит его.

Я бы посмотрел на реализацию какой-либо формы жесткого ограничения приложений. Не позволяйте им запускать что-либо, кроме офисного пакета, и все, что им нужно для повседневной работы. Даже если они заблокированы, чтобы не запускать вредоносное ПО, мошенническое приложение все равно может потреблять ресурсы.

Отключить на нем обои; это может повлиять на производительность. Также установите значение 256 цветов, если нет реальной необходимости подниматься выше.