Разграничение доступных ресурсов для групп пользователей на сервере терминалов

Сервер терминалов

Довольно часто возникает необходимость разграничить возможности пользователей сервера терминалов. Например, менеджер создает и распечатывает расходную накладную, отправляет получателя с документами на склад. В свою очередь, кладовщик сверяет накладную с данными в учетной программе, отпускает материальные ценности и делает соответствующие отметки в программе. Однако кладовщик не должен иметь прав распечатывать что-либо или копировать в буфер обмена.

Безусловно, подобное реализуется изменением настроек подключения клиента, но более-менее грамотный пользователь может сменить их. Групповая политика безопасности? Да. Но что делать, если нет контроллера домена, а "подымать" его для 5-10 пользователей особого смысла нет?

Для решения подобной задачи создаем два подключения к серверу на разных портах с независимыми настройками для двух групп. А чтобы пользователи одной группы не могли воспользоваться подключением для другой, в настройках каждого подключения делаем соответствующие разрешения. Далее приведу пошаговый пример.

Экспортируем в файл весь раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.

Открываем в блокноте - видим строку раздела [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp], которую переименовываем, например, в [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp2].

Ищем параметр "PortNumber"=dword:00000d3d - это порт 3389 в шестнадцатеричном формате.Меняем его на 00000d3e (3390) или любой другой, сохраняем, добавляем в реестр.

Перезапускаем службу "Службы удаленных рабочих столов".

В "Конфигурации узла сеансов удаленных рабочих столов" видим 2 подключения.

1-е подключение оставляем без изменения, оно работает по стандартному порту и со стандартными настройками для группы "Пользователи удаленного рабочего стола".

В управлении компьютером добавляем новую группу, например, NewRDP.

Открываем локальные политики безопасности, в разделе "Назначение прав пользователя" находим параметр "Разрешать вход в систему через службы удаленных рабочих столов", в нее добавляем созданную группу NewRDP.

Открываем "Конфигурация узла сеансов удаленных рабочих столов", входим в подключение RDP-Tcp2 - Безопасность, добавляем группу NewRDP с правами "Доступ гостя" и "Доступ пользователя", удаляем из списка "Пользователи удаленного рабочего стола".

Перезагружаем сервер.

Получаем, 2 независимых подключения по RDP с разными портами, с независимыми настройками.

Для использования того или иного способа подключения по RDP, добавляем пользователя либо в стандартную группу "Пользователи удаленного рабочего стола",либо в группу "NewRDP".

Сергей Семенец
http://efsol.ru/solutions/data-protection.html

Комментариев нет:

Отправить комментарий