Есть ли способ запретить пользователям запускать и использовать удаленный рабочий стол и ограничить его доступ только для локальных администраторов или администраторов домена?
Причина в том, что мы не хотим, чтобы у пользователей был удаленный рабочий стол домой, но в то же время мы хотим, чтобы он был доступен определенным пользователям, например администраторам или опытным пользователям.
В идеале существует групповая политика, которую можно установить для групп или пользователей, которые имеют доступ к приложению удаленного рабочего стола со своего компьютера.
Разъяснения: Мне нужно, чтобы на машине можно было работать с удаленным рабочим столом, только с определенным пользователем или группой. Дело в том, что мы разрешаем одним пользователям использовать удаленный рабочий стол, а другим не иметь к нему доступа. Есть машины, на которых есть несколько пользователей, поэтому мы не можем просто заблокировать всю машину или по IP.
Это необходимо сделать для учетной записи пользователя или входа в систему.
Почему вы выбираете удаленный рабочий стол? Почему бы не включить VNC, GoToMyPC и так далее?
На самом деле нет надежного способа сделать это. Если вы приложите усилия, чтобы заблокировать как можно больше, вам придется проделать большую работу.
Вы можете настроить брандмауэр так, чтобы блокировать все, кроме того, что вы явно разрешаете, а затем разрешать только то, что вы контролируете. Дайте вашим администраторам возможность временно открыть дыры или VPN вокруг брандмауэра. Вы не можете просто заблокировать общий порт для своих пользователей, поскольку пользователи могут просто настроить какой-либо VPN / туннель.
Или вы можете использовать инструмент для создания белого списка всех разрешенных приложений на ваших машинах и заблокировать все остальное.
Я считаю, что удаленный рабочий стол использует определенный порт или протокол. Вы можете ограничить этот порт на уровне брандмауэра или сети - все это только для определенных IP-адресов.
Измените разрешения GPO на MSTSC.exe, чтобы разрешить "выполнение" только группе администраторов.
Вам нужен раздел «Программные ограничения» групповой политики. Здесь есть хороший обзор http://technet.microsoft.com/en-us/library/bb457006.aspx. Я мало работал с ним, поэтому не очень хорошо знаю специфику, но вы можете блокировать приложения по ряду различных критериев, а опция «пропустить администраторов» позволяет администраторам делать все, что они хотят.
Как указано выше, самый простой способ справиться с этой ситуацией - использовать групповую политику. Это позволит администраторам по-прежнему использовать удаленный рабочий стол с локального компьютера. Что касается VNC / Logmein / Gotomypc, снова используйте групповую политику, чтобы запретить пользователям устанавливать программное обеспечение на свои машины. Это может быть немного неудобно для ИТ-специалистов, но если вы ищете изоляции, это самый простой способ.
Если вы не используете политику домена или группы, просто сделайте пользователей обычными или опытными пользователями, а не администраторами.
Уточняющий вопрос: связано ли это с проблемами безопасности или производительности (пропускной способности и т. Д.) ИТ, или опасениями по поводу того, что сотрудники «крадут» рабочее время компании, используя домашние компьютеры?
Если первая проблема, то, как уже упоминалось в других плакатах, есть несколько обходных путей - GoToMyPC, например, использует протокол HTTP. Это предполагает, что ваши пользователи достаточно образованы, чтобы внедрить эти изменения.
Если второе, то вам стоит рассмотреть несколько решений бизнес-уровня. Если вы можете контролировать компьютеры своих сотрудников или сетевую активность, вашей компании просто необходимо применить какую-либо форму наказания к нарушителям - угрожать штрафами, сокращением заработной платы или чем-то еще хуже.
Из http://community.spiceworks.com/topic/104009:
Если вам нужно добавить пользователей домена в группу пользователей удаленного рабочего стола на машине XP, вам необходимо использовать группы с ограниченным доступом в GPO ...
он находится в разделе Конфигурация компьютера / Настройки Windows / Настройки безопасности / Группы с ограниченным доступом. Щелкните правой кнопкой мыши, добавьте группу, щелкните обзор, чтобы найти пользователей домена. Нажмите ОК и нажмите Добавить в разделе Эта группа является членом ... Введите Пользователи удаленного рабочего стола.
У меня все заработало (конечно, в домене Windows Server 2008 R2). Обновление: верно, это даст права доступа только пользователям домена на локальном компьютере
Это сработает. Извините за неправильное толкование вопроса.