Терминальный сервер, как сервер публичного доступа, обычно нуждается в более строгих ограничениях, чем персональный компьютер пользователя.

Примечание Конечно, как и при всяких настройках, администратору нужно представлять возможные опасности и разумно реализовывать только необходимые ограничения. Если вы включите все те ограничения, параметры которых присутствуют в групповых политиках для терминального сервера от Microsoft, то нормально работать в терминальной сессии не сможет ни один пользователь.

Поскольку терминальный сервер предоставляется многим пользователям, то крайне важно администратору сохранить его работоспособность, не давая пользователям устанавливать лишние программное обеспечение, менять настройки и т. д. Мы не будем останавливаться на описании возможных административных настроек, отметим только, что для терминального сервера очень развиты опции тюнинга через политики безопасности. В политиках безопасности можно установить практически любые ограничения. Администратору нужно найти золотую середину.

В частности, пользователей нужно ограничить применением только заданного перечня программ. Следует запретить им доступ к локальным ресурсам сервера, ограничить в выполнении ресурсоемких операций, лишить права устанавливать новые программы и т. п. Приведу небольшой список возможных ограничений.

Примечание Желательно создать специальное подразделение в службе каталогов (OU, Organization Unit), в которое переместить терминальный сервер. Для этого OU следует назначить собственную групповую политику, в которой и определить необходимые ограничения.

Ограничить список программ, которые разрешено запускать пользователям терминала.

Ограничить перечень устройств, к которым предоставляется доступ пользователю терминала. Например, исключить доступ к CD-ROM, сменным дискам и т. д.

Без необходимости не стоит разрешать пользователю подключать как диски своего компьютера, так и с любых других систем (для исключения запуска программ с этих носителей).

Желательно отключить возможность установки пользователем программ с использованием Windows Installer.

Рекомендуется запретить просмотр и поиск любых ресурсов (например, просмотр сети, поиск принтеров, поиск файлов и т. п.).

Желательно настроить административные шаблоны для таких задач, как: Проводник, меню Пуск, Панель управления и т. д., ограничив состав возможностей только необходимыми функциями.

ПримЕчАниЕ

Операцию поиска в Проводнике можно вызвать быстрыми клавишами <Ctrl>+<E>. Чтобы заблокировать эту возможность, создайте файл с некоторым поясняющим текстом (например, текстовый или в формате HTML) и установите следующие значения реестра системы: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search параметры SearchAssistant=REG_SZ: <путь к файлу> и CustomizeSearch=REG_SZ: <путь к файлу>. Теперь при попытке выполнить операцию поиска пользователь увидит только содержание данного файла.

В общем случае следует руководствоваться принципом: чем более публичным является терминальный сервер, тем большие ограничения должны налагаться на его использование в целях предупреждения не всегда разумных инициатив пользователей.

Особенности использования приложений на терминальном сервере | Самоучитель системного администратора | Подключение к консоли терминального сервера


Самоучитель системного администратора



Новости за месяц

  • Июль
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31