Терминальный сервер, как сервер публичного доступа, обычно нуждается в более строгих ограничениях, чем персональный компьютер пользователя.

Примечание Конечно, как и при всяких настройках, администратору нужно представлять возможные опасности и разумно реализовывать только необходимые ограничения. Если вы включите все те ограничения, параметры которых присутствуют в групповых политиках для терминального сервера от Microsoft, то нормально работать в терминальной сессии не сможет ни один пользователь.

Поскольку терминальный сервер предоставляется многим пользователям, то крайне важно администратору сохранить его работоспособность, не давая пользователям устанавливать лишние программное обеспечение, менять настройки и т. д. Мы не будем останавливаться на описании возможных административных настроек, отметим только, что для терминального сервера очень развиты опции тюнинга через политики безопасности. В политиках безопасности можно установить практически любые ограничения. Администратору нужно найти золотую середину.

В частности, пользователей нужно ограничить применением только заданного перечня программ. Следует запретить им доступ к локальным ресурсам сервера, ограничить в выполнении ресурсоемких операций, лишить права устанавливать новые программы и т. п. Приведу небольшой список возможных ограничений.

Примечание Желательно создать специальное подразделение в службе каталогов (OU, Organization Unit), в которое переместить терминальный сервер. Для этого OU следует назначить собственную групповую политику, в которой и определить необходимые ограничения.

Ограничить список программ, которые разрешено запускать пользователям терминала.

Ограничить перечень устройств, к которым предоставляется доступ пользователю терминала. Например, исключить доступ к CD-ROM, сменным дискам и т. д.

Без необходимости не стоит разрешать пользователю подключать как диски своего компьютера, так и с любых других систем (для исключения запуска программ с этих носителей).

Желательно отключить возможность установки пользователем программ с использованием Windows Installer.

Рекомендуется запретить просмотр и поиск любых ресурсов (например, просмотр сети, поиск принтеров, поиск файлов и т. п.).

Желательно настроить административные шаблоны для таких задач, как: Проводник, меню Пуск, Панель управления и т. д., ограничив состав возможностей только необходимыми функциями.

ПримЕчАниЕ

Операцию поиска в Проводнике можно вызвать быстрыми клавишами <Ctrl>+<E>. Чтобы заблокировать эту возможность, создайте файл с некоторым поясняющим текстом (например, текстовый или в формате HTML) и установите следующие значения реестра системы: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search параметры SearchAssistant=REG_SZ: <путь к файлу> и CustomizeSearch=REG_SZ: <путь к файлу>. Теперь при попытке выполнить операцию поиска пользователь увидит только содержание данного файла.

В общем случае следует руководствоваться принципом: чем более публичным является терминальный сервер, тем большие ограничения должны налагаться на его использование в целях предупреждения не всегда разумных инициатив пользователей.

⇐Особенности использования приложений на терминальном сервере | Самоучитель системного администратора | Подключение к консоли терминального сервера⇒