Запрет любых RDP подключений, кроме RemoteApp. Как?

Question

[Gleb86898964]

Windows Server не пускает в сессию RemoteApp, если пользователь или группа в которой он состоит, не находится в группе "Пользователи удалённого рабочего стола". Если добавить пользователя в эту группу, то он получает доступ к сессии RemoteApp, но и получает доступ к RDP сессии.
Как сделать, чтоб к полной RDP сессии имели доступ только пользователи определённой группы, остальные - только доступ к приложениям RemoteApp?

Answer 1

[АртемЪ]

Запрет любых RDP подключений

Что значит любых? Они все одинаковые.
Вы либо разрешаете работать по протоколу RDP либо запрещаете это делать.
RemoteApp это сессия RDP.

Comments

[Gleb86898964]

АртемЪ,

Что значит любых?

Имеется ввиду полных сессий и сессий, с пробросом PNP USB устройств или RemoteFX ускорителей.

RemoteApp это сессия RDP.

RemoteApp - это НЕПОЛНОЦЕННАЯ сессия RDP. Это эмулятор приложения. Клиент думает, что программа запущена локально, а на самом деле она работает на удалённом сервере. RemoteApp ИСПОЛЬЗУЕТ под собой RDP, но НЕ предоставляет доступ к удалённому рабочему столу.
Вот мне и надо, чтоб все пользователи могли запускать ТОЛЬКО конкретные приложения remoteapp, а определённые пользователи - имели полный доступ к своему рабочему столу и могли ставить любые программы.

[Alexey Dmitriev]

Gleb86898964, RemoteApp это RDP сессия с автозапуском определенного приложения.

[АртемЪ]

Gleb86898964, Ну не бывает полных или не полных сессий.
Вы либо подключаетесь к рабочему столу, либо нет.
Если подключились можете использовать какие-то фишки, а можете не использовать.

RemoteApp это доставка окна на удаленный компьютер - чтобы впустую не гонять трафик пересылается не весь рабочий стол, а только окно определенного приложения.

Вот мне и надо, чтоб все пользователи могли запускать ТОЛЬКО конкретные приложения remoteapp

Не вопрос - настраивается за десять минут.

а определённые пользователи - имели полный доступ к своему рабочему столу и могли ставить любые программы.

Тоже можно сделать, но на терминальном сервере полный доступ у юзера это опасно. Я бы не советовал разрешать пользователям ставить софт.

Answer 2

[Alexey Dmitriev]

Вариантов два.
1. В настройках RDP на сервере найти настройку "Start the following program when the user....":
и добавить туда
Path c:\windows\system32\logoff.exe
Start in: c:\windows\system32
Это повлияет на всех пользователей сервера.

2. В настройках каждого аккаунта, которому нужно запретить вход через RDP - в свойствах аккаунта есть сценарий входа - можно сделать тоже что и в пункте 1.

Соответственно - если хотите это автоматизировать через группу - можно это сделать политиками или периодически запускаемым скриптом.