Как ограничить RDP-функционал без затрагивания обычного профиля?
Имеется 2008R2(AD) с работающим RDP. Все работало как работало, но решили копнуть чуть глубже и сделать хоть какую-нибудь защиту от дурака и решили ограничить максимально RDP (работа только с 1С и принтерами )
Как сделать максимальное ограничение прав подключаемого пользователя (AD-профиль) к RDP, не затрагивая его локальный профиль ( в котором он работает с локальной машины)?Т.е. когда человек включает свою машину у него все окей, когда подключается к RDP - только 1С и завершение сеанса.
Вопрос казалось бы элементарный (с настройкой самих прав все окей), но как обработать этот нюанс не знаю и прошу помощи)
Возможно ли это сделать без завода новых пользователей типа
был просто pupkin, стал pupkin и pupkin_rdp
вечер без пива сказывается на работе/на мозге
подумал "от простого". по умолчанию, любой пользователь (в группе "Пользователи домена") может выключить свой ПК, но не может выключить RDP-сервер. Выяснилось, что политики нужно менять для группы "Пользователи удаленного рабочего стола", куда по умолчанию включены все пользователи группы "Пользователи домена"
нет,я говорю только о gpo в ad.сейчас проверил на новых пользователях - все окей. корень всего вопроса был вообще в другом - в организации единого списка 1С-баз для всех.Это решилось и потом дошел до rdp.
Средний
