Как ограничить RDP-функционал без затрагивания обычного профиля?

Question

[Константин]

Имеется 2008R2(AD) с работающим RDP. Все работало как работало, но решили копнуть чуть глубже и сделать хоть какую-нибудь защиту от дурака и решили ограничить максимально RDP (работа только с 1С и принтерами )
Как сделать максимальное ограничение прав подключаемого пользователя (AD-профиль) к RDP, не затрагивая его локальный профиль ( в котором он работает с локальной машины)?Т.е. когда человек включает свою машину у него все окей, когда подключается к RDP - только 1С и завершение сеанса.

Вопрос казалось бы элементарный (с настройкой самих прав все окей), но как обработать этот нюанс не знаю и прошу помощи)
Возможно ли это сделать без завода новых пользователей типа
был просто pupkin, стал pupkin и pupkin_rdp

Answer 1

[kolupalkin]

так создайте в GPO для этого сервака новую политику с ограничение в новой OU , а там ваши ограничения как вам удобно делайте

Answer 2

[Константин]

вечер без пива сказывается на работе/на мозге
подумал "от простого". по умолчанию, любой пользователь (в группе "Пользователи домена") может выключить свой ПК, но не может выключить RDP-сервер. Выяснилось, что политики нужно менять для группы "Пользователи удаленного рабочего стола", куда по умолчанию включены все пользователи группы "Пользователи домена"

Comments

[kolupalkin]

только не надо путать права пользователей на локальных пк и этих же пользователей на серверах , они не могу выключать серваки в дефолтных параметрах

[Константин]

нет,я говорю только о gpo в ad.сейчас проверил на новых пользователях - все окей. корень всего вопроса был вообще в другом - в организации единого списка 1С-баз для всех.Это решилось и потом дошел до rdp.