edinorog
@edinorog
Троллей не кормить!

Как по феншую разрешить remoteapp и запретить полноценный rdp?

Сервак 2016й. Интересуют так же и грабли.
  • Вопрос задан
  • 9882 просмотра
Пригласить эксперта
Ответы на вопрос 2
@Alex_Sandr
1. Создать локальную группу TerminalAdmins и добавить в неё пользователей
2. На диске С создать каталог AdminTools и разместить в нём скрипт NoRDP.cmd
Содержание скрипта:
@echo OFF
net localgroup TerminalAdmins | find /i "%username%"
if %ERRORLEVEL% == 0 goto admin
logoff.exe
exit
:admin
start /B explorer.exe
exit
3. В gpedit.msc изменить групповую политику:
User Configuration -> Administrative Templates -> Windows Components -> Terminal Services -> Policy
Start a program on connection = Enabled
Program path and file name = C:\AdminTools\NoRDP.cmd
4. Выполнить в CMD от имени Администратора: gpupdate /force
Либо перезагрузить сервер.

Теперь при подключении пользователя по RDP скрипт проверит, входит ли пользователь в группу TerminalAdmins.
Если пользователь в группу не входит, он будет сразу же разлогинен.
Ответ написан
Комментировать
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
Напрямую запрет RDP невозможен, так как для доступа к этой службе, как и к полновесному RDP нужны одинаковые права. Но есть два обходных пути (который я знаю, м.б. есть что-то лучше):
1. Выставить все приложения через TS Web Access, убрав из списка подключение к самому рабочему столу
2. Групповой политикой (или как то иначе) установить для всех пользователей shell'ом файл logoff.exe (или вызывать логофф другими способами сразу после входа) полным RDP, на RApp это не будет распространяться.

Ну и можно настроить права пользователей так, что попадание на RDP не принесёт дополнительных уязвимостей.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы