Настройка терминального сервера Windows Server 2008 R2

2008 сервер до сих пор удобно использовать на недорогих решениях в офисе компании или для определенных служб-сервисов не требующих большой уровень безопасности или использующих старые программы, которые уже не обновляются.

После установки пароля администратора в реалиях 2018 года необходимо сменить пользователя администратор, рекомендуется установить приличный серверный антивирус  или хотя бы Kaspersky Small Office Security прекрасно работает на 2008, а вот на 2012 запускаться ни в какую не хочет

запустить GPEDIT.MSC и настроить локальную групповую политику безопасности:

  • если не нужны сложные пароли — отключить Пароль должен отвечать требованиям сложности (конфигурация Windows, параметры безопасности, политика паролей)
  • gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

В случае, если правил нет, система предложит сгенерировать автоматические правила, разрешающие запуск программ из папки Windows и Program Files. Так же добавим запрещающее правило для пути * (любой путь). В результате мы хотим получить возможность запуска программ только из защищенных системных папок. И что же?
Да, это мы и получим, но вот только маленькая незадача — не работают ярлыки и http ссылки. На ссылки еще можно забить, а без ярлыков жить плоховато.
Если разрешить запуск файлов по маске *.lnk — мы получим возможность создать ярлык для любого исполняемого файла, и по ярлыку запустить его, даже если он лежит не в системной папке. Паршиво.
Запрос в гугл приводит к таким решениям: или разрешить запуск ярлыков из пользовательской папки, либо пользовать сторонние бары с ярлычками. Иначе никак. Лично мне такой вариант не нравится.

В итоге мы сталкиваемся с ситуацией, что *.lnk является с точки зрения винды не ссылкой на исполняемый файл, а исполняемым файлом. Бредово, но что ж поделать… Хотелось бы, чтобы винда проверяла не местонахождение ярлычка, а местонахождение файла, на который он ссылается.

И тут я нечаянно натолкнулся на настройки списка расширений, являщихся исполняемыми с точки зрения винды (gpedit.msc -> Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Назначенные типы файлов). Удаляем оттуда LNK и заодно HTTP и релогинимся. Получаем полностью рабочие ярлычки и проверку на местонахождение исполняемого файла.
Было сомнение, можно ли будет передавать через ярлыки параметры — можно, так что все ок.

 

добавим роли:

  • Узел сеансов удаленных рабочих столов
  • Лицензирование удаленных рабочих столов

Выберем режим лицензирования на устройство

Добавим группы пользователей которые будут иметь право на подключение у терминальному серверу.

после добавления ролей и перезагрузки  лицензируем сервер лицензий для этого запустим Диспетчер лицензирования удаленных рабочих столов

Перейдем к конфигурации сервера узла сеансов удаленных рабочих столов — Укажем сервер лицензирования удаленных рабочих столов

Завершающим штрихом настроим теневое копирование, не лишним будет настроить резервное копирование на какой-нибудь ftp-сервер.

 

 

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.