Добрый день! В задачах “Windows” администратора входит умение правильно в соответствии с поставленной задачей настроить групповые политики в домене. Сейчас я рассмотрю, один довольно интересный вариант настройки групповой политики, а именно как добавить группу пользователей на подключение поRDPк рабочим станциям. Это может организация в которой Вы работаете наконец таки соизволила перейти на тонкие клиенты. Т.е. Каждый пользователь, как бы работает за своим рабочим местом, а на самом деле подключается поRDPк своей созданной системным администраторомVDI” – станции расположенной в безотказной инфраструктуре. Но об этом не данная заметка, но вскоре я поделюсь практическими навыками при разворачиванию “VDI“.

А сейчас:

  • Есть домен polygon.local, развернут по заметке.
  • Есть две рабочие станции (WinXP x86, Win7 x86) состоящие в домене polygon.local

На помню, для того чтобы на рабочие станции под управлением “Windows XP” применилась ниже следующая политика, в системе должен быть установлен пакет обновления (kb943729), по моей заметке.

Показывать настройку групповых политик буду на домен контроллере, поэтому подключаемся к нему под учётной записью с правами “Domain Admins“, в моем случаем это учётная запись – “ekzorchik“.

Создадим группу “(VDI_RDP)” в домене “polygon.local” в которую добавим пользователей которым с помощью создаваемой ниже политике будет разрешено входить на свои рабочие станции через протокол “RDP“.

Открываем оснастку управления групповыми политиками:

“Start” – “Control Panel” – “Administrative Tools” – запускаем “Group Policy Management”.

Политика у меня применяется на организационный контейнер “VDI” в котором располагаются подконтрольные компьютеры, поэтому раскрываем домен (polygon.local), находим контейнер “VDI“, щелкаем по нему правой кнопкой мыши и выбираем из доступных свойств – “Create a GPO in this domain, and Link it here…“.

Создаем групповую политику на контейнер с VDI машинами

 

Именуем создаваемую групповую политику, как – “GPO_Remove_Desktop“:

Именуем создаваемую групповую политику: - GPO_Remote_Desktop

 

Открываем ее на редактирование и переходим в элементы конфигурирования настроек на компьютер:

GPO_Remote_Desktop” – “Computer Configuration” – “Windows Settings” – “Security Settings” – “Restricted Groups”, после чего щелкаем правой кнопкой мыши вызываем свойства и выбираем “Add Group…” – “Browse”.

Через свойства "Resticted Group" добавляем в группу

 

Далее через “Browse” находим созданную группу: – “Remote Desktop Users“.

Добавляем созданную для VDI группу в локальную Remote Desktop Users

 

Далее в окне свойств данной группы указываем месторасположение данной группы в другой группе:

Указываем месторасположение данной группы vdi_rdp

 

По окончании нажимаем кнопку “Apply” и “OK“. В итоге у Вас должно получиться, как ниже я привожу скриншот окончательного вида:

Итоговый вид, что в должно получиться

Отлично. Теперь активируем галочку разрешить подключение к удаленному рабочему столу в свойства системы.

Вносить изменения будем в эту же созданную групповую политику, так что переходим в элементы конфигурирования настроек на компьютер:

“GPO_Remote_Desktop” – “Computer Configuration” – “Policies” – “Preferences” – “Windows Settings” – “Registry”, создаем новый ключ, “New” – “Registry Item“.

Создаем ключ через политику в реестре

 

И приводим значения настроек к виду:

Action: (Действие) – Update

Hive: (Куст) – HKEY_LOCAL_MACHINE

Key Path: (ключ) – System\CurrentControlSet\Control\Terminal Server

Value name (именование значения) – fDenyTSConnections

Value type (тип значения) – REG_DWORD

Value data (значение) 00000000

Для справки:

Значение параметра fDenyTSConnections может принимать, либо 00000000 enable (Удаленный рабочий стол включен) OR 00000001 disable (Удаленный рабочий стол отключен)

См. скриншот ниже для наглядного понимания, что в итоге должно получиться.

Выставляем значение параметра fDenyTSConnections равным 0 для подключения через RDP

 

По окончании настроек нажимаем кнопку “Apply” & “OK” для принятия изменений. Теперь чтобы политика применилась на рабочие станции в организационном контейнере “VDI” они должны быть перезагружены.

, но есть одно но, перед тем, как политика заработает, нужно побеспокоиться на тему правила для исключения доступа поRDPво встроенном брандмауэереWindows“. Настройки все так же производятся на компьютер:

“GPO_Remote_Desktop” – “Computer Configuration” – “Policies” – “Administrative Templates” – “Network” – “Network Connections” – “Windows Firewall” – “Domain Profile” – “Windows Firewall: Allow inboud Remote Desktop Exception”.

Enable – и прописываем сеть, 10.9.9.0/24 – моя сеть обслуживаемая домен контроллером.

Заходим на рабочую станцию, пока локально чтобы проверить наличие группу “vdi_rdp” под управлением системы “Win7x86Rus

Открываем оснастку,

“Пуск” – “Панель управления” – “Администрирование” – “Управление компьютером” – далее раскрываем “Служебные программы” – “Локальные пользователи” – “Группы” – “Пользователи удаленного рабочего стола” и видим, что в членах этой группы присутствует добавленная через групповую политику, группа – “VDI_RDP“. Результат достигнут.

На рабочей станции Windows 7 группа на подключение по RDP к компьютеру появилась.

 

Вот собственно и всё, что я хотел показать в данной практической заметке. Это напоминался самому себе и Вам дорогие читатели блога. С уважением ekzorchik.

От ekzorchik

Всем хорошего дня, меня зовут Александр. Я под ником - ekzorchik, являюсь автором всех написанных, разобранных заметок. Большинство вещей с которыми мне приходиться разбираться, как на работе, так и дома выложены на моем блоге в виде пошаговых инструкции. По сути блог - это шпаргалка онлайн. Каждая новая работа где мне случалось работать вносила новые знания и нюансы работы и соответственно я расписываю как сделать/решить ту или иную задачу. Это очень помогает. Когда сам разбираешь задачу, стараешься ее приподнести в виде структурированной заметки чтобы было все наглядно и просто, то процесс усвоения идет в гору. Также прошу на https://win.ekzorchik.ru https://lin.ekzorchik.ru https://net.ekzorchik.ru https://voip.ekzorchik.ru https;//home.ekzorchik.ru