Навигация
Системное Администрирование Решения на открытых кодах Структура сети Компьютерные сети малых предприятий Сеть с централизованным управлением Управление с помощью групповых политик Организация почтового обслуживания Взаимодействие с глобальной сетью Безопасность Виртуализация Парядок настройки и определения неисправностей Средства управления системами Автоматизация установки программного обестичения Решение проблем с компьютером Разное
 
 
Избранное
Pathping. Traceroute на стероидах.
FreeNAS: создаём сетевое хранилище (NAS)
Iperf - утилита для тестирования пропускной способности сети.
Средство против «сетевой слепоты»
Преимущества и недостатки RAID 6
Дисковые массивы RAID
Надежнее, чем RAID 5
Унификация корпоративных коммуникаций
Exchange и SAN: не все так просто
Cisco против Meru
 
 
Взаимодействие с глобальной сетью - Подключение администратора к терминальной сессии
Администратор, а точнее, тот пользователь, которому такое право дано протоколом RDP имеет возможность подключиться к пользовательской сессии. Данный режим обычно служит для оказания помощи пользователям терминального сервера: администратор получает возможность наблюдать за чужим экраном и демонстрировать выполнение операций.

Операция выполняется через задачу управления терминальными сессиями исполнением соответствующей команды меню свойств. По умолчанию для выполнения данной операции система запрашивает подтверждение пользователя. Однако можно легко установить настройки, позволяющие выполнить операцию и без такого согласия. Эти настройки выполняются через параметры по умолчанию для терминальной сессии.

Дополнительные ограничения терминальных сессий

Терминальный сервер как сервер публичного доступа обычно нуждается в более строгих ограничениях, чем персональный компьютер пользователя.

Конечно, как и при всяких настройках, администратору нужно представлять возможные опасности и разумно реализовывать только необходимые ограничения. Если вы включите все те ограничения, параметры которых присутствуют в групповых политиках для терминального сервера от Microsoft, то нормально работать в терминальной сессии не сможет ни один пользователь. В частности, пользователей нужно ограничить использованием только заданного перечня программ. Следует запретить им доступ к локальным ресурсам сервера, ограничить в выполнении ресурсоемких операций, лишить права устанавливать новые программы и т. п. Приведу небольшой список возможных ограничений.

Желательно создать специальное OU, в которое переместить терминальный сервер. Для этого OU следует назначить собственную групповую политику, в которой и определить необходимые ограничения.

  • В разделе Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Параметры ограниченного использования программ следует определить те программы, которые разрешено запускать пользователям терминала.
  • В разделе Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Локальные политики | Параметры безопасности необходимо максимально ограничить параметры Devices (ввести доступ к CD-ROM и дискете только для локальных пользователей, т. е. тех, кто работает с консоли сервера).
  • Параметры раздела Конфигурация компьютера | Административные шаблоны | Terminal Services позволяют настроить параметры сессий пользователя. Рекомендуется запрещать пользователю подключать как диски своего компьютера, так и любых других систем (для исключения запуска программ с этих носителей).
  • В разделе Конфигурация компьютера | Административные шаблоны | Windows Installer желательно отключить возможность установки программ с использованием Windows Installer.
  • В других разделах рекомендуется запретить просмотр и поиск любых ресурсов (например, просмотр сети, поиск принтеров, поиск файлов и т. п.).
  • Оцените также целесообразность включения ограничивающих параметров разделов Конфигурация пользователя | Административные шаблоны: Windows Explorer, Start Menu & TaskBar, System, Control Panel.


Операцию поиска в Проводнике можно вызвать быстрыми клавишами <Ctrl>+<E>. Чтобы заблокировать эту возможность, создайте файл с некоторым поясняющим текстом (например, текстовый или в формате HTML) и установите следующие значения реестра системы: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search параметры SearchAssistant=REG_SZ: <путь к файлу> и CustomizeSearch=REG_SZ: <путь к фанлу>. Теперь при попытке выполнить операцию поиска пользователь увидит только содержание данного файла.

В общем случае следует руководствоваться принципом: чем более публичным является терминальный сервер, тем большие ограничения должны налагаться на его использование в целях предупреждения не всегда разумных инициатив пользователей.


 
 
 
 
Поиск по сайту
Google Поиск


Яндекс поиск
 
 
Полезное
 
 
 
 
 
systemzone.ru 2014