Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Как запретить приложения в домене

Обновлено: 07.01.2025

Приветствую, коллеги! В разных организациях принято закрывать внутреннюю сеть, ограждая ее от промышленного шпионажа и других угроз, связанных с работой собственных сотрудников. Такие сервисы удаленного подключения, как TeamViewer, Ammyy admin, AnyDesk и др. являются огромной "дырой" в безопасности любой организации. Как ее "немного прикрыть" мы рассмотрим в данной статье, на примере работы с роутером MikroTik.

Итак, если на пальцах, то нам надо поставить маркеры на определенные слова и словосочетания, которые будут помечать трафик (любой, не только из браузера) и делать с ним все, что нам захочется: хоть блокировать, хоть перенаправлять, хоть пустить в пешее кругосветное путешествие через всю нашу сеть. Голь на выдумки хитра. Но здесь я рассмотрю только вариант с блокировкой.

Для начала нам надо определиться что именно мы будем блокировать. Идем в IP -> Firewall на последнюю вкладку Layer 7 Protocols.

Описание регулярных переменных для отслеживания работы L7 модели OSI

Здесь мы создаем регулярки для определения того, что будем блочить. Это могут быть совершенно разные сайты: хоть социалки, хоть видео-хостинги, радио или просто вам сайт АвтоВАЗа, например, не хочется видеть. Забиваем регулярные выражения в следующем виде.

В трех этих вкладках при создании нового мангла, нужно указать: внутренний адрес ус-ва (если пусто, то все), указать как L7 лист использовать для маркировки трафика от данного устройства, указать как помечать трафик, который удовлетворяем уже 2 нашим условиям: таблицы регуляров BlockList и внутреннему адресу ус-ва. Имя Connection mark может быть любым. Готово. Далее сама блокировка.

На вкладке Filter Rules - самой первой вкладке раздела Firewall, создаем новое правило.

Когда нажмете "плюсик", то не надо заполнять все поля - чем меньше их заполнено, тем более обширно правило. Заполняя поля вы сужаете область применения данного правила. Нам достаточно следующих: connection mark, который мы создали предыдущим шагом, и в разделе action выбрать что делать - в нашем случае дропать.

И самое важное, поднять наше новое правило в разделе filter rules как можно выше, так как правила во всех фаерволах всегда и везде выполняются по очереди до первого совпадения. Т.е. если вы создали правило под номером 10, а до него есть правило номер 7, которое все разрешает, то все правила после 7 не будут выполняться вообще. Еще один нюанса микрота - замыкающее, конечное правило, надо создать дропать все. Т.е. все поля пустые, а action - drop. Т.к. базово оно не прописано, как у других производителей, где последнее правило всегда "запрещает все всем". Тут такого нет, поэтому создаем.

Как видите, на данной машине перестали открываться сайты, в имени которых встречаются слова, с которых мы начали данную статью.

Окно программы AnyDesk тоже не может связаться с сервером, чтобы получить ID для удаленного подключения.

В заключении хочу обозначить пару моментов, которые лежат на поверхности, но многие об этом не задумываются при блокировке этих или других сервисов. Будь то фейсбук, вк или амазон с ютубом - не важно. Блокировка сторонних ресурсов всегда должна быть согласована и подтверждена руководством письменно. В идеале у вас должно быть минимум распоряжение, на которое вы сможете ссылаться, когда очередной мини-вип-царек по телефону будет вспоминать всю вашу родословную, искать вам новую работу или еще что похуже. Вы обезопасите себя и свои нервные клетки. В идеале также убедить руководство, что никаких исключений быть не должно и реализовать их будет проблематично и напряжно для роутера: гораздо проще обработать команду блочить 1,2,3,4 для всех, чем 1,2 для группы1, 2,4 для группы2, а группа 3 только по праздникам может ходить в 1,3. Это все реализуемо, но нервов у вас высосет тонну. Работа ради работы.

В общих чертах, наверное, все. Надеюсь было интересно и познавательно. Спасибо за лайк и подписку - это поднимет популярность статьи и больше людей ее смогут увидеть. Если не сложно - буду признателен!

Конфигурация компьютера
Процессор: Intel i5-580M (2,66 ГГц)
Память: CMSA8GX3M2A1333C9 (8 Гб)
HDD: WDS500G2B0A (500 Гб)
Ноутбук/нетбук: Sony VPCEB1S1R (upgrade)
ОС: Windows 10 x64
Так же, как и запретить запуск какой нибудь программы.

-------
А зачем тебе жужжать, если ты не пчела? По-моему так.

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Не совсем то, имеется в виду запретить запуск игр посредством групповой политики домена на компьютерах входящих в домен.
Конфигурация компьютера
Процессор: Intel Core i7-3770K
Материнская плата: ASUS P8Z77-V LE PLUS
Память: Crucial Ballistix Tactical Tracer DDR3-1600 16 Гб (2 x 8 Гб)
HDD: Samsung SSD 850 PRO 256 Гб, WD Green WD20EZRX 2 Тб
Видеокарта: ASUS ROG-STRIX-GTX1080-O8G-11GBPS
Звук: Realtek ALC889 HD Audio
Блок питания: be quiet! Straight Power 11 650W
CD/DVD: ASUS DRW-24B5ST
Монитор: ASUS VG248QE 24"
ОС: Windows 8.1 Pro x64
Индекс производительности Windows: 8,1
Прочее: корпус: Fractal Design Define R4

Можно реализовать путем запрета доступа на файлы запуска игр. Или даже на папку с играми.

Например, в Win XP игры лежат здесь %SystemRoot%\system32\
И если мне не изменяет память, то игры запускаются со следующих файлов:
червы - mshearts.exe
Косынка - sol.exe
Сапер - winmine.exe
Солитер - freecell.exe

В Win 7 все стандартные игры запускаются отсюда
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games


Соответственно в политике выставить полный запрет на эти файлы или папку (даже системе и локальному админу) и применить политику к домену.

В теории все понятно, но не плохо бы это представить пошагово. Короче, ничего действительно дельного так и не услышал, видно модераторы тоже не достаточно внимательно читают вопросы. Посему пришлось действовать эмпирическим путем и вот примерный алгоритм действий:
1) На контроллере домена заходим: Администрирование - Менеджер групповых политик, выбираем нужный лес и домен, раскрываем домен находим групповую политику по умолчанию, жмем на ней правой кнопкой мыши, выбираем пункт "Редактирование" (Edit).
2) Открывается окно редактора групповых политик в нем находим: Политика компьютера - Конфиграция Windows - Параметры безопасности - Политики ограниченного использования программ - Дополнительные правила.
3) В раскрывшемся окне жмем правой кнопкой мыши и в сплывающем меню выбираем пункт: Создать правило для хэша.
4) На любой из рабочих станций в домене открываем меню: Пуск - Программы - Игры и выбираем например пасьянс "Паук", жмем на нем правой кнопкой мыши и выбираем свойства. В окне "Рабочая папка" читаем: C:\WINDOWS\system32. Даем на эту папку доступ "Все", "Для чтения" (временно).
5) В окне "Содать правило для хеша" нажимаем "Обзор" и в сетевом окружении ищем данную рабочую станцию на ней дирректорию C:\WINDOWS\system32 а в ней выбираем файл, в данном случае spider.exe, при выборе автоматически заполняется форма хэша. Выбираем опцию "Не разрешать".
4) Далее соответственно "Применить" - "ОК". Смотрим окно дополнительных правил, где появляется правило запрещающее запуск файла spider.exe на компьютерах - членах данного домена, характеризющее изменение групповой политики по умолчанию.
5) После перезагрузки всех рабочих станций домена данное правило о запрете на запуск "Паука" будет на них соответственно действовать.
Сразу хочу оговорится, что этот метод является далеко не идеальным и представляет собой всего лишь "Защиту от добрых дураков", поскольку продвинутый юзверь сможет его обойти если возьмет файл из другой версии ОС.
Но это уже частности, в любом случае метод представляется мне достаточно простым и эффективным, кто имеет, что предложить, прошу высказываться.
…продвинутый юзверь сможет его обойти если:
1) Переименует запускающий файл.
2) Скопирует этот файл в другую дирректорию.
3) Запустит данный файл со съемного носителя. »

Интересно, а почему на практике сие не выполняется, сам проверял. Тот же спайдер на рабочей станции спокойно запускается с флешки. Хотя политики прописаны по вышеописанному алгоритму и из рабочей папки игра не запускается. В чем загвостка.

Могу предположить только, что файл запускаемый с флешки был создан на другой сборке (версии) ОС, а следовательно представляет из себя уже другую программу, а значит правило хэша на нее не распространяется. Какие есть мнения?

GPO

В записи описывается как можно запретить запуск служб и приложений в windows при помощи групповых политик Active Directory. Рассматривается пример запрета TeamViewer.

Мне была поставлена задача заблокировать работу TeamViewer на компьютерах компании. Можно пойти двумя путями:

  1. Блокировать работу TeamViewer на уровне сети - запретить обращаться к портам, серверам и анализировать содержимое пакетов
  2. Блокировать запуск ПО TeamViewer на уровне политик ОС

Я выбрал второй вариант.

Блокирование запуска системной службы

Первое что я захотел заблокировать (и заодно протестировать работу политики) - это запуск службы TeamViewer:

  • На доменном контролере запускаем оснастку Group Policy Managment
  • Создаем или переходим к редактированию групповой политики
  • В групповой политике переходим по адресу: Computer Configuration - Windows Settings - Security Settings - System Services
  • В списке сервисов находим тот, что нужен и дважды кликаем по нему, у меня это сервис TeamViewer
  • Ставим галочку возле "Define this policy setting"
  • В блоке "Select service startup mode" выбираем "Disabled"

system services policy

  • Жмем на кнопку "Edit Security. " и выставляем права на чтение "Read" для Administrators и INTERACTIVE, все другие права снимаем. Для SYSTEM права не изменяем.
  • Дважды жмем OK
  • На локальном компьютере, где политику нужно применить именно сейчас, в командной консоли вводим команду "gpupdate /force" и после ее отработки перезагружаем компьютер.

Как добавить службу в групповую политику

Есть один нюанс: по умолчанию при редактировании групповой политики по адресу "Computer Configuration - Windows Settings - Security Settings - System Services" видны только те службы, который установлены на компьютере, где это редактирование происходит, в нашем случае это контроллер домена.

Чтобы в редакторе групповых политик в "System Services" добавить какую-либо службу, нужно сделать следующее:

  • На компьютере, где есть нужная нам служба, запускаем "Консоль Управления (MMC)": Пуск - Выполнить - MMC
  • Выбираем меню "Консоль" - "Добавить или удалить оснастку"
  • В появившемся окне жмем кнопку "Добавить"
  • В списке доступных изолированных оснасток выбираем "Шаблоны безопасности" и жмем кнопку "Добавить", затем "ОК"
  • Разворачиваем в MMC "Шаблоны безопасности" и кликаем по "C:\Windows\Security\Templates"

security templates

  • В правой области окна кликаем правой кнопкой мышки, выбираем пункт "Создать шаблон" и прописываем имя для нового шаблона - "system services". Созданный шаблон должен появится в левой области окна.
  • В MMC переходим по адресу "Шаблоны безопасности - C:\Windows\Security\Templates - system services - "Системные службы"
  • Среди списка системных служб находим нужную службу, в моем случае это была TeamViewer и дважды кликаем по ней
  • Ставим галочку возле "Определить следующий параметр политики в шаблоне"
  • Откроется окно настройки безопасности:
    • для Администраторы и Интерактивные оставляем галочку только возле "Чтение", все остальные галочки снимаем.
    • для SYSTEM оставляем как есть.
    • жмем ОК

    После этих действий служба TeamViewer перестала запускаться, а у локального администратора права позволяющие ее запустить вручную.

    Запрет запуска приложений

    Также я решил запретить запуск самого приложения. При помощи групповых политик это можно сделать описывая одно из следующих правил:

    • Правило зоны
    • Правило пути
    • Правило хеша
    • Правило сертификата

    Правило зоны

    Запрет запуска приложений *.msi из определенной зоны (Интернет, Локальный компьютер, Надежные узлы) - считаю этот метод блокировки бесполезным, исходя из того, что он маловостребованный

    Правило пути

    Блокировка по имени/пути файла или по пути в реестре (если программа хранит пути к своим рабочим каталогам в реестре). Можно использовать переменные среды или подстановочные знаки «?» и «*».

    Минус этого метода в том, что эту политику легко обойти: достаточно переместить или переименовать файл.

    Плюс метода в том, что можно реализовать следующую логику: разрешить запуск программ ТОЛЬКО С определенных папок, таких как windows, program files и запретить пользователям что-либо в этих папках изменять\записывать. В результате идеальная защита: исполняемые файлы вне этих папок не запустятся, свои же файлы пользователи не смогут записать в системные папки из которых разрешен запуск - нет прав. К сожалению у себя в локальной сети мы не готовы так жестко ограничить пользователей.

    Я решил проверить как работает правило пути: создал правило в котором указал запрет запуска если путь "*TeamViewer*". В результате TeamViewer не запускался до тех пор, пока я не нашел портативную версию и не переименовал ее файл.

    Правило хеша

    Для идентификации файла используется его хеш – это цифровой «отпечаток» файла. Хеш однозначно идентифицирует любой файл, независимо от того как он называется и где находится. То есть два файла с идентичным содержимым будут иметь один и тот же хеш. Это спасает от переименования и перемещения файлов.

    Но если программа часто обновляется, то после каждого обновления придется прописывать новый хеш.

    Правило сертификата

    Именно на этом способе блокировки я и остановился. Большинство программ крупных компаний подписывают свои программы сертификатом издателя. Благодаря этому сертификату издателя можно убедится что эта программа действительно оригинальная, а не поддельная, которая ворует пароли. У каждой компании свой сертификат.

    В правиле сертификата можно блокировать запуск программы по сертификату издателя. Плюс в том, что все версии программы будут заблокированы, независимо от того, из какой папки они запускаются и как переименовываются. Минус в том, что все программы этой компании будут заблокированы, так как они подписываются одним и те же сертификатом издателя.

    Чтобы просмотреть и экспортировать сертификат издателя выполните следующие действия:

    • Правый клик мышки на exe-файле
    • Выберите пункт свойства - перейдите на вкладку цифровые подписи
    • В поле "список подписей" дважды кликните по подписи
    • Нажмите на кнопку "просмотр сертификата"
    • Перейдите на вкладку "Состав" и нажмите на кнопку "Копировать в файл. "
    • Выберите формат файла сертификата в DER или Base64-кодировке и жмите по кнопкам "далее" - дальше все должно быть понятно.

    Также следует учесть один нюанс: для того чтобы правило сертификата работало нужно активировать их работу:

    • переходим к редактированию нужной политики
    • в политике переходим по адресу "Computer Configuration - Windows Settings - Security Settings - Local Policies - Security Options"
    • в самом низу находим "System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies" ("Параметры системы:использовать правила сертификатов для исполняемых файлов Windows для политик ограниченного использования программ") и дважды кликаем по нему
    • Ставим галочку возле "Define this policy setting" и выбираем "enabled"

    Область действия политик ограниченного использования программ и приоритет правил

    Действие политик ограниченного использования программ не распространяется на:

    • Программы, запущенные от имени учетной записи SYSTEM
    • Драйверы и другие приложения уровня ядра
    • Макросы внутри документов Microsoft Office
    • Программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime) – эти программы используют политику безопасности доступа кода (Code Access Security Policy)

    Приоритет применения правил выглядит так (по мере убывания приоритета):

    • Правило для хеша
    • Правило для сертификата
    • Правило для пути
    • Правило для зоны Интернета
    • Правило по умолчанию

    Настраиваем политику запрета программного обеспечения

    При редактировании политики переходим по адресу "Computer Configuration - Windows Settings - Security Settings - Software Restriction Policies"

    Если политики для программного обеспечения еще не определялись, то вы увидите предупреждение, что в случае их назначения новые правила перекроют параметры политик, унаследованных от других объектов GPO. Именно это мы и собираемся сделать, поэтому жмем правой кнопкой мышки по Software Restriction Policies и выбираем в меню "Create Software Restriction Policies". После этого увидим:

    Software Restriction Policies

    Общие настройки:

    • Enforcement - можно указать к чему\кому эти политики применяются (или можно оставить настройки по умолчанию):
      • Ко всем файлам программного обеспечения или ко всем файлам программного обеспечения кроме библиотек (таких как dll)
      • Ко всем пользователям или ко всем пользователям кроме администраторов

      В папке Security Levels, будут два уровня:

      • Disallowed - когда все запрещено кроме того, что разрешено (разрешить можно в Additional Rules)
      • Unrestricted - все разрешено кроме того, что запрещено (запретить можно в Additional Rules)

      Если кликнуть по одному из этих уровней, то можно увидеть кнопку "Set as default". По умолчанию включен уровень Unrestricted

      В папке Additional Rules собственно и создаются разрешающие или запрещающие политики. По умолчанию там уже будут созданы политики для путей в реестре, которые разрешают запускать приложения из служебных\системных папок.

      Для создания разрешающего правила кликаем правой кнопкой мышки и выбираем один из типов правила (Сертификат, хеш, зона или путь).

      Я ограничивал Teamviewer по сертификату издателя: выбрал New Certificate Rule, в нем указал файл с сертификатом издателя (чуть выше описано как его получить) и в Security level выбрал "Disallowed", то есть запретить.

      Запрет запуска приложений через Software Restriction Policies additional rules

      Если после настройки политик не терпится увидеть их работу на локальном компьютере, то в командной строке введите "gpupdate /force" и после выполнения команды перезагрузите компьютер.



      Parallels Parallels Remote Application Server (RAS) представляет из себя RDP с человеческим лицом, но некоторые его фишки должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете). Под катом рекомендации Матвея Коровина из команды техподдержки Parallels о настройках Windows Server при использовании RAS.

      Ниже будут представлены групповые политики, которые смогут сделать ваш Parallels RAS (или просто сервер терминалов) более удобным и безопасным. Для более целевого использования приведенных ниже конфигураций, рекомендуем создать отдельную группу пользователей Parallels RAS и применять групповые политики именно к ней.



      Часть первая. «Запрещательная»

      Прячем элементы эксплорера (Диски, кнопка «Пуск» и тд)
      По умолчанию при подключении к терминальному серверу \ виртуальной машине пользователь, добавленный в группу «Пользователи удаленного рабочего стола» увидит полностью функциональный рабочий стол.

      Локальные диски будут ему видны и часто доступны. Согласитесь, это неплохая дыра в безопасности, если пользователь даже со своими лимитированными правами будет иметь возможность доступа к локальным дискам и файлам на удаленном сервере.

      Даже если установить правильное разграничение доступа и тем самым обезопасить себя пугливый юзверь все равно будет путать диски терминального сервера со своими локальными дисками и в ужасе звонить в тех поддержку. Наилучшим решением такой ситуации будет спрятать локальные диски терминального сервера от пытливого взора энд юзера.

      Расположение групповой политики:

      User Configuration\Policies\Administrative Templates\Windows Components\Windows Explorer

      И измените значение следующих опций:

      • Hide these specified drives in My Computer — изменив значение этой опции, вы можете убрать упоминание конкретных дисков из меню компьютера и всех связанных меню, однако это не запрещает доступ к дискам. Если пользователь задаст абсолютный адрес диска, то он откроется.
      • Prevent access to drives from My Computer — запретить доступ к конкретным дискам. При включении этой опции доступ к дискам будет ограничен, но диски будут отображены в file explorer.

      Что еще можно спрятать от пользователя, используя эту групповую политику:

      • Remove Run menu from Start Menu – при активации убирает кнопку «Пуск» из меню
      • Remove Search button from Windows Explorer – здесь все просто: поиск в эксплорере будет недоступен
      • Disable Windows Explorer's default context menu – это функция лишает пользователя возможности вызывать менюшку правым кликом мыши (можно купить старых мышек от мака и сэкономить на одной кнопке)

      После написания этой части проснулась просто-таки депутатская страсть к запретам. На этом фоне стоит рассказать вам, какими способами можно запретить пользователю все.

      Запрещаем использование командной строки (даже если пользователь сможет открыть CMD ему останется просто любоваться черным окошком с уведомлением о запрете доступа)

      Расположение групповой политики:

      User Configuration → Policies → Administrative Templates → System → Prevent access to the command promt.

      Меняем значение на enabled.

      Опция Disable the command prompt script processing also запрещает пользователю выполнять скрипты.

      Есть один нюанс: если у вас настроены логон скрипты при включении этой опции, они выполняться не будут.

      Убираем кнопки выключения \ перезагрузки \ сна (будет обидно, если удаленный пользователь случайно выключит терминальный сервер)

      Расположение групповой политики:

      User Configuration → Administrative Templates → Start Menu and Taskbar → Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate Commands

      При включении этой опции пользователь сможет только заблокировать сессию или разлогиниться из нее.

      Запрещаем Автозапуск «Управление сервером» при логине
      Расположение групповой политики:

      Computer Configuration → Policies → Administrative Templates → System → Server Manager → Do not display Server Manager automatically at logon

      Меняем значение на enabled.

      Запрещаем запуск PowerShell
      Расположение групповой политики:

      User Configuration → Policies → Administrative Templates → System → Don’t run specified Windows applications

      Включаем эту политику и добавляем туда следующие приложения
      powershell.exe and powershell_ise.exe

      Этой политикой можно запретить запуск любых установленных (а также не установленных) приложений.

      Прячем элементы панели управления
      Расположение групповой политики:

      User Configuration → Administrative Templates → Control Panel → Show only specified Control Panel items.

      При включении этой политики все элементы панели управления будут скрыты от пользователя. Если пользователю должны быть доступны какие-либо элементы, добавьте их в исключения.

      Запрещаем запуск редактора реестра
      Расположение групповой политики:

      User Configuration → Policies → Administrative Templates → System → Prevent access to registry editing tools

      Меняем значение на enabled.

      Запрещаем все
      Логичным завершением этой части статьи будет рассказ о том, как запретить пользователям все. Есть мнение, что пользователь должен подключиться к удаленному рабочему столу, посмотреть на него и, убедившись в торжестве технического прогресса, отключиться.

      Для достижения этой цели нам нужно создать групповую политику добавления дополнительных ключей в реестре Windows:

      Расположение групповой политики:

      User Configuration\Preferences\ Windows Settings\Registry
      Кликаем правой кнопкой мыши по Registry затем New затем Registry item

      Добавляем новый REG_DWORD параметр RestrictRun со значением 1 в ключ реестра
      HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

      Теперь пользователю запрещено запускать любые приложения кроме системных.

      Как запретить ему пользоваться CMD и Power Shell описано выше.

      Если вы все-таки решите (исключительно по доброте душевной) разрешить пользователям запуск каких-либо приложений, их нужно будет добавить в «разрешительный список» путем создания в ключе

      HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun

      Значением типа string, используя порядковый номер разрешаемой программы в качестве имени (нумерация как это не странно начинается с 1), и именем разрешаемой программы в качестве значения.

      HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
      String Name:«1»=«notepad.exe»
      String Name «2»=«calc.exe»

      При такой конфигурации пользователь сможет запустить только блокнот и калькулятор.

      На этом хочется закончить «Запрещательную» часть. Конечно, можно упомянуть еще некоторое количество «Низя», но все это настраивается через Parallels Client и встроенные политики Parallels RAS.


      Часть вторая. «Время и прочая романтика»

      Установка временных лимитов для удаленных сессий

      Бывает, что пользователь запускает приложение в фоне и может даже не пользоваться им. Если для обычных приложений это не страшно, то запущенное в фоне опубликованное приложение / рабочий стол занимает лицензию, а лицензии, как бы дико это не звучало для России, стоят денег.

      Для решения этого вопроса умные люди из Microsoft придумали различные статусы терминальных сессий и временные лимиты для них.

      Какие бывают статусы терминальных сессий:

      Active – сессия активна и в ней что-то происходит. Пользователь двигает мышкой, нажимает на кнопки и создает имитацию бурной деятельности
      IDLE – соединение есть, сессия запущена, приложение работает, но пользователь активности не проявляет
      Disconnected – пользователь нажал крестик и отключился. Объяснять конечному пользователю, что за зверь логоф и чем он питается — бесполезно.

      Наиболее целесообразно устанавливать временные рамки на IDLE и Disconnected сессий.
      В них ничего не происходит, а лицензии занимаются.

      Добиться этого мы можем опять-таки, используя групповые политики.

      Расположение групповой политики:

      User Configuration → Policies → Administrative Templates Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Session Time Limits

      В этой ветке есть несколько опций. Давайте разберем их все:

      Set time limit for active but idle Remote Desktop Services sessions

      Максимальное время работы для Active сессий.

      Set time limit for active Remote Desktop Services sessions

      Максимальное время работы для IDLE сессий.

      Set time limit for disconnected sessions

      Максимальное время работы для disconnected сессий.

      End session when time limits are reached

      Если установить эту политику в Enabled статус, то по достижению временного лимита сессии будут завершаться, а не отключаться.

      Настройка временных лимитов – важный шаг для оптимизации работы сервера и оптимизации затрат на ПО.

      Установка времени логина для пользователей или скажем нет переработкам
      У каждого из нас есть рабочий день, а также утро, вечер и ночь. Но Британские (или Мальтийские) ученые недавно выяснили, что от работы, оказывается, можно заболеть или даже умереть. Работа — это очень сильный и опасный наркотик, поэтому в ярой заботе о любимых пользователях мы должны ограничить им время, когда они могут логиниться на сервер. А то надумают тоже работать из дома, отпуска и по выходным. И помогут нам в этом не групповые политики. Настройка времени работы находится в свойствах пользователя. Где-то далеко в начале этой статьи я упоминал, что все манипуляции лучше производить со специально созданной группой пользователей Parallels RAS, так вот, на примере этой группы мы и разберем, как установить часы работы.

      Идем в левый нижний угол нашего экрана, нажимаем кнопку пуск и печатаем dsa.msc
      Откроется всеми любимая оснастка Active Directory Users and Computers.

      Найдите созданную вами группу пользователей Parallels RAS кликните по ней правой кнопкой мыши и зайдите в свойства. Во вкладке Account будет опция Logon Hours в которой нужно выбрать разрешенные и запрещенные часы работы для группы.

      Итог этого раздела:

      1. Вы великолепны
      2. Жизни пользователей спасены от переработки


      Часть третья. «Интерактивная»

      Используя опубликованные ресурсы, часто приходится не только запрещать все подряд на сервере, но и перенаправлять в удаленную сессию локальные ресурсы. И если с принтерами, сканерами, дисками, звуком и COM портами никаких сложностей не возникнет, Parallels RAS прекрасно их перенаправляет без дополнительных настроек со стороны Windows, то с перенаправлением USB устройств и веб камер все не так просто.

      Для перенаправления данного типа оборудования нужно, чтобы звезды сошлись в правильном порядке не только на сервере, но и на клиентской машине:

      На компьютере пользователя измените следующую групповую политику:

      Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Connection Client → RemoteFX USB Device Redirection
      Присвойте ей значение Enabled

      Теперь в свойствах Parallels клиента (Connection Properties → Local Resources) вы сможете выбрать, какое именно из подключенных USB устройств должно быть перенаправлено на сервер.

      Примечание: USB устройство может быть задействовано либо в опубликованном приложении, либо на локальном компьютере, но не одновременно и там, и там.

      На стороне сервера необходимо установить драйверы и все необходимое ПО для работы USB устройства. К сожалению, универсального драйвера для всего подряд человечество еще не придумало.

      На этом хотелось бы завершить обзор настроек Windows, которые будут важны для работы Parallels RAS.


      З.Ы. Таких длинных текстов писать не доводилось давно, отсюда огромная благодарность всем тем, кто осилил эту статью.

      Читайте также:

          
      • Как запустить сервер приложений
        •   
      • Tile fun что за приложение в смартфоне
        •   
      • Mi home как изменить язык в приложении
        •   
      • Что нельзя делать с помощью telegram
        •   
      • Как из вайбера переслать видео в телеграмм
  • Контакты
  • Политика конфиденциальности