Терминальный сервер #1 Ограничение прав пользователей
Вставка
- Опубліковано 14 жов 2020
- Настройка прав доступа удаленных пользователей на терминальном сервере. it-skills.online
⚡ Регистрируйся на следующий вебинар тут 👉 sys-team-admin.ru/vebinar-po-...
В этом же уроке предлагаю более детально рассмотреть процесс ограничения прав пользователя на терминальном сервере. Да, по умолчанию он лишен административных прав и много чего не может, однако, все равно к этому вопросу нужно отнестись более внимательно, так как пользователь все же находится на самом главном устройстве в вашей компании. Так что стоит детально проанализировать, что пользователю делать можно, а что нет!!!
+++++++++++++++++++++++++++++++++++++++++++++++++
ВРЕМЕННЫЕ МЕТКИ
01:40 - Описание тестовой сети
02:42 - Какие права имеет пользователь на терминальном сервере?
07:05 - Ограничение доступа к системным дискам сервера
08:20 - Редактирование групповой политики для «Не администраторов»
10:07 - Запретить доступ к дискам через Проводник
17:18 - Ограничение прав на уровне NTFS
21:32 - Запрет на запуск приложений
22:55 - Запретить доступ к Панели управления и параметрам компьютера
23:13 - Запретить доступ к Диспетчеру задач
23:26 - Запрет работы в командной строке
24:22 - Проверяем работу ограничивающих политик
26:51 - Как легко найти измененные параметры?
+++++++++++++++++++++++++++++++++++++++++++++++++
ССЫЛКИ:
Видеоурок "Настройка терминального сервера" - • Настройка терминальног...
Комплексное обучение системному администрированию - it-skills.online/courses/komp...
Следи за новостями через ВК: app5898182_-34272024#s...
Наша онлайн школа - it-skills.online
Блог «IT-Skills» - www.sys-team-admin.ru
Обратная связь - www.sys-team-admin.ru/obratnay...
Группа в ВК - it_skills_online
![Доменные службы Active Directory [Администрирования Windows Server]](http://i.ytimg.com/vi/xNwvcsT6YcA/mqdefault.jpg)
Спасибо Вам за познавательное и полезное видео!
Использовать remote app вместо полноценного rdp + ntfs права (можно и с access list) гораздо быстрей и решает даже большее количество задач. 😊
Спасибо Огромное за полезное видио! ПО ЧАЩЕ СНИМАЙ ТАКОЕ ЭТО КОЕ!!
спасибо большое !!!!!!!!!!!!!
Спасибо за видео. Соизмерил с тем, что сам умею.
Самое максимальное, что мне довелось обеспечить юзерам.
Запуск лишь одной программы, остальное нельзя: копирование между RDP и локальным компом, доступ к дискам, cmd, три кнопки, выход в интернет и много чего ещё.
Всё для того, чтобы базу данных никто из юзеров не мог скопировать или отправить.
На базе сервер RDP под Win10, юзеры на Win7-10.
Отлично! Теперь бы то же самое только для AD гле пользователи работают и локально и через RDP. Так как показано под AD не прокатит (не будет вкладки пользователи в оснастке редактора групповой политики)
да, это было бы более актуально!👌
⚡ Регистрируйся на следующий вебинар по системному администрированию 👉 sys-team-admin.ru/vebinar-po-sistemnomu-administrirovaniyu.html
Следи за новостями через ВК: vk.com/app5898182_-34272024#s=239171&force=1
🎬 ВРЕМЕННЫЕ МЕТКИ
01:40 - Описание тестовой сети
02:42 - Какие права имеет пользователь на терминальном сервере?
07:05 - Ограничение доступа к системным дискам сервера
08:20 - Редактирование групповой политики для «Не администраторов»
10:07 - Запретить доступ к дискам через Проводник
17:18 - Ограничение прав на уровне NTFS
21:32 - Запрет на запуск приложений
22:55 - Запретить доступ к Панели управления и параметрам компьютера
23:13 - Запретить доступ к Диспетчеру задач
23:26 - Запрет работы в командной строке
24:22 - Проверяем работу ограничивающих политик
26:51 - Как легко найти измененные параметры?
С рабочего стола для всех пользователей можно не удалять ярлыки а задать им права доступа и те кто к ним не будет иметь разрешений не увидит их на своем рабочем столе а те, кому они нужны увидят и будут работать
Например - в твоей ситуации тотал для группы администраторов можно оставить доступным а для остальных убрать доступ - и все пользователи группы Администраторы будут видеть ярлык а пользователям он не покажется
таким же методом можно ограничивать видимость ярлыков специфического софта (например 1С) те кто входит в группу с разрешением доступа к 1с увидит ярлык остальные нет
Ну да, можно и так. Меня тут наверное больше интересует вопрос ограничения в запуске программ. Т.е. мы тут можем указать, какие не запускать и все зависит от имени файла. А хотелось бы, чтобы было наоборот, указывать только те программы, которые запускать можно, а все остальные нельзя. Особо в этой теме пока не рылся, но нашел, что можно в реестре кое-что подправить, однако тут нет пункта изменения реестра. В общем, если кто вкурсе, буду рад помощи в данном вопросе. Да и вообще, еще каким-нибудь интересным фишкам.
Я своих через RDS пускаю к определенным программам. RDP + диспетчер задач для всех отключаю.
И получается что они запускают только программу которая им предоставлена по правам, а куда то еще зайти не могут. Опять же - экономия ресурсов, т.к. пользователь запускает только одну программу и минимальное необходимое окружение.
Ну или второй вариант создать ферму операционок для юзверов с мигрирующими рабочими столами.
Приветствую коллеги ✌ Попробовал настроить по видео, вроде делал всё по порядку, но после перезагрузки компьютера, под встроенной УЗ Администратор перестала открываться Панель управления, Диспетчер задач, так же встроенный виндовый бэкап чтоб восстановиться. Зашёл в панель ММС, выбрал Администратора, там этих настроек нет, зашёл обратно в остнастку "Не администраторы" которую настраивал, снял все настройки, перезагрузил. Не помогло, так же под Администратором не открывает Панель управления и Диспетчер. Экспериментировал на WS2019 с последними обновлениями. Будьте аккуратны, не эксперементируйте на рабочих тачках 😄 Придётся потратить теперь время чтоб всё переустановить и настроить, благо комп домашний для тестов. Всем удачи 😉
Подскажите есть терминальный сервер он же контроллер домена и когда пользователь входит по rdp то при запуске диспетчера задач просит права администратора. Как разрешить запуск обычному пользователю
Подскажите, а как запретить выход в локальную сеть? Ну т.е. пользователь подключился для работы с 1с, только она при старте у него запускается, но у него есть возможность зайти в общие папки предприятия через меню файл-открыть. Как запретить вообще всё кроме работы в 1с ))
Есть политика "Ограничить использование оснасток списком явно разрешенных оснасток". Лучше пользоваться ей
Для AD - сделайте такое видео, у меня ЛЕС: и тут я не могу создать "Файл - Оснастка" такого пункта в MMC - НЕТ!
мои пользователи работают исключительно в 1С, поэтому я задал рабочую папку в среде пользователя - папку, в которой она установлена. плюс при подключении 1С автоматом запускается и нет доступа никуда) возможно, колхоз, но пока ограничивался лишь этим
Ограничивать все права это хорошая идея, если этого достаточно и пользователи не много чем пользуются.
а если переименовать exe тотала, его так же нельзя будет запустить?
Народ помогите, добавил оснастку для не админов. не знаю, что-то ограничил пропал доступ к любым расшаренным папкам и принтерам у пользователей с админами все норм
Глянь какие параметры менял. Там есть вкладка все параметры, можно через сортировку быстро найти изменения.
Как на сервере терминалов (без AD) запретить доступ к сайтам за исключением избранных (белого списка?)
Можно файл hosts отредактировать.
@@systeamadmin Как сделать черный список через hosts понимаю. а как белый - не могу сообразить
Слушай, точно. Ну можно через антивирус запретить. В нод есть список разрешенных и запрещенных сайтов. Тупо запрещает все и добавляешь исключения.
@@systeamadmin Та ещё задачка без стороннего ПО?
Я не вникал, можно новерное через Эксплорер запретить.
Фоновая музыка мешает!
Настройте эквалайзер на компьютере. Музыка еле слышна.
@@systeamadmin
Ну я ведь смотрю и ролики других каналов.
К ним претензий нет
Держать терминальный сервер на сервере с БД и другими ролями весьма глупо. 1 сервер 1 роль.
Глупо то, глупо, а как правильно то??