Довольно часто возникает необходимость разграничить возможности пользователей сервера терминалов. Например, менеджер создает и распечатывает расходную накладную, отправляет получателя с документами на склад. В свою очередь, кладовщик сверяет накладную с данными в учетной программе, отпускает материальные ценности и делает соответствующие отметки в программе. Однако кладовщик не должен иметь прав распечатывать что-либо или копировать в буфер обмена.
Безусловно, подобное реализуется изменением настроек подключения клиента, но более-менее грамотный пользователь может сменить их. Групповая политика безопасности? Да. Но что делать, если нет контроллера домена, а "подымать" его для 5-10 пользователей особого смысла нет?
Для решения подобной задачи создаем два подключения к серверу на разных портах с независимыми настройками для двух групп. А чтобы пользователи одной группы не могли воспользоваться подключением для другой, в настройках каждого подключения делаем соответствующие разрешения. Далее приведу пошаговый пример.
Экспортируем в файл весь раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.
Открываем в блокноте - видим строку раздела [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp], которую переименовываем, например, в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp2].
Ищем параметр "PortNumber"=dword:00000d3d - это порт 3389 в шестнадцатеричном формате.Меняем его на 00000d3e (3390) или любой другой, сохраняем, добавляем в реестр.
Перезапускаем службу "Службы удаленных рабочих столов".
В "Конфигурации узла сеансов удаленных рабочих столов" видим 2 подключения.
1-е подключение оставляем без изменения, оно работает по стандартному порту и со стандартными настройками для группы "Пользователи удаленного рабочего стола".
В управлении компьютером добавляем новую группу, например, NewRDP.
Открываем локальные политики безопасности, в разделе "Назначение прав пользователя" находим параметр "Разрешать вход в систему через службы удаленных рабочих столов", в нее добавляем созданную группу NewRDP.
Открываем "Конфигурация узла сеансов удаленных рабочих столов", входим в подключение RDP-Tcp2 - Безопасность, добавляем группу NewRDP с правами "Доступ гостя" и "Доступ пользователя", удаляем из списка "Пользователи удаленного рабочего стола".
Перезагружаем сервер.
Получаем, 2 независимых подключения по RDP с разными портами, с независимыми настройками.
Для использования того или иного способа подключения по RDP, добавляем пользователя либо в стандартную группу "Пользователи удаленного рабочего стола",либо в группу "NewRDP".
Сергей Семенец
Комментариев нет:
Отправить комментарий