Добрый день! В задачах «Windows» администратора входит умение правильно в соответствии с поставленной задачей настроить групповые политики в домене. Сейчас я рассмотрю, один довольно интересный вариант настройки групповой политики, а именно как добавить группу пользователей на подключение по «RDP» к рабочим станциям. Это может организация в которой Вы работаете наконец таки соизволила перейти на тонкие клиенты. Т.е. Каждый пользователь, как бы работает за своим рабочим местом, а на самом деле подключается по «RDP» к своей созданной системным администратором «VDI» – станции расположенной в безотказной инфраструктуре. Но об этом не данная заметка, но вскоре я поделюсь практическими навыками при разворачиванию «VDI«.
А сейчас:
- Есть домен polygon.local, развернут по заметке.
- Есть две рабочие станции (WinXP x86, Win7 x86) состоящие в домене polygon.local
На помню, для того чтобы на рабочие станции под управлением «Windows XP» применилась ниже следующая политика, в системе должен быть установлен пакет обновления (kb943729), по моей заметке.
Показывать настройку групповых политик буду на домен контроллере, поэтому подключаемся к нему под учётной записью с правами «Domain Admins«, в моем случаем это учётная запись – «ekzorchik«.
Создадим группу «(VDI_RDP)» в домене «polygon.local» в которую добавим пользователей которым с помощью создаваемой ниже политике будет разрешено входить на свои рабочие станции через протокол «RDP«.
Открываем оснастку управления групповыми политиками:
«Start» – «Control Panel» – «Administrative Tools» – запускаем «Group Policy Management».
Политика у меня применяется на организационный контейнер «VDI» в котором располагаются подконтрольные компьютеры, поэтому раскрываем домен (polygon.local), находим контейнер «VDI«, щелкаем по нему правой кнопкой мыши и выбираем из доступных свойств – «Create a GPO in this domain, and Link it here…«.
Именуем создаваемую групповую политику, как – «GPO_Remove_Desktop«:
Открываем ее на редактирование и переходим в элементы конфигурирования настроек на компьютер:
«GPO_Remote_Desktop» – «Computer Configuration» — «Windows Settings» — «Security Settings» — «Restricted Groups», после чего щелкаем правой кнопкой мыши вызываем свойства и выбираем «Add Group…» — «Browse».
Далее через «Browse» находим созданную группу: — «Remote Desktop Users«.
Далее в окне свойств данной группы указываем месторасположение данной группы в другой группе:
По окончании нажимаем кнопку «Apply» и «OK«. В итоге у Вас должно получиться, как ниже я привожу скриншот окончательного вида:
Отлично. Теперь активируем галочку разрешить подключение к удаленному рабочему столу в свойства системы.
Вносить изменения будем в эту же созданную групповую политику, так что переходим в элементы конфигурирования настроек на компьютер:
«GPO_Remote_Desktop» – «Computer Configuration» – «Policies» – «Preferences» – «Windows Settings» – «Registry», создаем новый ключ, «New» – «Registry Item«.
И приводим значения настроек к виду:
Action: (Действие) — Update
Hive: (Куст) – HKEY_LOCAL_MACHINE
Key Path: (ключ) – System\CurrentControlSet\Control\Terminal Server
Value name (именование значения) – fDenyTSConnections
Value type (тип значения) – REG_DWORD
Value data (значение) 00000000
Для справки:
Значение параметра fDenyTSConnections может принимать, либо 00000000 enable (Удаленный рабочий стол включен) OR 00000001 disable (Удаленный рабочий стол отключен)
См. скриншот ниже для наглядного понимания, что в итоге должно получиться.
По окончании настроек нажимаем кнопку «Apply» & «OK» для принятия изменений. Теперь чтобы политика применилась на рабочие станции в организационном контейнере «VDI» они должны быть перезагружены.
, но есть одно но, перед тем, как политика заработает, нужно побеспокоиться на тему правила для исключения доступа по «RDP» во встроенном брандмауэере «Windows«. Настройки все так же производятся на компьютер:
«GPO_Remote_Desktop» – «Computer Configuration» – «Policies» — «Administrative Templates» — «Network» — «Network Connections» — «Windows Firewall» — «Domain Profile» — «Windows Firewall: Allow inboud Remote Desktop Exception».
Enable – и прописываем сеть, 10.9.9.0/24 – моя сеть обслуживаемая домен контроллером.
Заходим на рабочую станцию, пока локально чтобы проверить наличие группу «vdi_rdp» под управлением системы «Win7x86Rus«
Открываем оснастку,
«Пуск» – «Панель управления» – «Администрирование» – «Управление компьютером» – далее раскрываем «Служебные программы» – «Локальные пользователи» – «Группы» – «Пользователи удаленного рабочего стола» и видим, что в членах этой группы присутствует добавленная через групповую политику, группа – «VDI_RDP«. Результат достигнут.
Вот собственно и всё, что я хотел показать в данной практической заметке. Это напоминался самому себе и Вам дорогие читатели блога. С уважением ekzorchik.