Znalazłem następujące pytanie, z podobną przesłanką, jednak odpowiedzią na to pytanie było pytanie sformułowane jako stwierdzenie!
RemoteApp Zapobiega uruchamianiu pulpitu zdalnego przez użytkownika
Jak zezwolić na RemoteApp, ale wyłączyć Pulpit zdalny? Aby zezwolić na aplikację zdalną, najwyraźniej muszę dodać użytkowników do grupy „Użytkownicy pulpitu zdalnego”. Umożliwia to Pulpit zdalny.
Próbowałem użyć grupy „TS Web Access Computers”, ale to nie daje im uprawnień do uruchamiania RemoteApp.
Gdzie jest konfiguracja do wyłączenia Pulpitu zdalnego, pozostawiając nienaruszone funkcje RemoteApp?
remote-desktop
windows-server-2008-r2
remoteapp
Brett Allen
źródło
źródło
Odpowiedzi:
Nie ma „oficjalnie sankcjonowanego” sposobu, aby to zrobić, ponieważ zasadniczo funkcja TS RemoteApp wykorzystuje po prostu istniejący kod pulpitu zdalnego. Możesz zrobić coś głupiego, jak użycie Zasad Grupy, aby ustawić powłokę użytkownika na „logoff.exe”, tak że jeśli spróbuje uzyskać dostęp do pulpitu komputera, zostanie natychmiast wylogowany. Jednak każda aplikacja korzystająca ze wspólnego okna dialogowego „Plik / Otwórz” może zostać użyta do uzyskania wiersza polecenia lub innych programów otwartych na pulpicie serwera.
Lepiej upewnij się, że postępujesz zgodnie z zasadą najmniejszych uprawnień i dajesz swoim użytkownikom TS RemoteApp tyle praw, ile potrzebują do uruchomienia zamierzonego oprogramowania. Jeśli trafią na pulpit komputera serwera, ich ograniczone prawa powinny uniemożliwić im wykonanie szkodliwych działań na komputerze serwera.
źródło
User Configuration/Policies/Administrative Templates/System/Custom User Interface
Lepiej jest użyć „Polityki kontroli aplikacji” w ustawieniach bezpieczeństwa, aby zezwolić tylko na niezbędne aplikacje lub skrypty, jeśli używasz Windows 7 lub Windows 2008 R2
źródło
To właśnie zrobiłem, aby zablokować pulpit, aby był dostępny tylko dla administratorów serwerów i nazwanej grupy AD. Użytkownicy, którzy nie są członkami danej grupy AD, otrzymają komunikat informujący o użyciu RDWeb, a nie Desktop / standard mstsc.
Dodaj następujący wiersz do
%windir%\system32\USRLOGON.CMD
Kod vbscript (dodaj swoje dane osobowe w poniższych pozycjach <>)
źródło
uruchom usługę Remoteapps WS2008 TS i mac tego klienta http://www.thinomenon.com/downloads/thinrdc-0.2.8.rar
dobrze pracować
źródło
Możesz skorzystać z faktu, że sesje pełnych użytkowników uruchamiają
userinit.exe
proces, podczas gdy sesje RemoteApp uruchamiająrdpshell.exe
proces. AppLocker może służyć do blokowaniauserinit.exe
wykonywania przez standardowych użytkowników.źródło