Использование групповых политик и сценариев для обеспечения согласованного взаимодействия с пользователем

Введение

Когда дело доходит до блокировки пользователей службы терминалов, простого подхода не бывает. Многие пользователи чувствуют себя обязанными, когда мы, как ИТ-специалисты, ограничиваем их возможности в среде терминальных служб. Причина блокировки среды легко объяснима, и благодаря моей работе с серверными вычислительными средами я также обнаружил, что существует предел тому, что мы должны и не должны блокировать. Мы никогда не забудем, что наша главная цель — предоставить пользователям набор инструментов, позволяющих им выполнять свои повседневные обязанности. В этой статье я попытаюсь объяснить некоторые варианты, которые нам нужны для создания закрытого, последовательного, но все же гибкого подхода к пользовательскому рабочему столу.

Я не буду вдаваться в подробности о том, как использовать групповые политики для терминальных служб, так как пару месяцев назад Патрик Роуз написал отличную статью, вы можете прочитать ее здесь.

Групповые политики

Перенаправление папок

Поскольку мы хотим, чтобы локальные диски на сервере были скрыты и доступны только пользователю, мы должны перенаправить рабочий стол пользователя. Следствием отсутствия перенаправления рабочего стола при ограничении доступа к локальным дискам сервера будет то, что пользователи не смогут сохранять и открывать файлы, размещенные на их рабочем столе. Перемещение рабочего стола решает эту проблему:

Этот параметр находится в [Конфигурация пользователяНастройки WindowsПеренаправление папокРабочий стол].

Редактирование свойств перенаправления рабочего стола

Настройка перенаправления рабочего стола в соответствии с предполагаемым местом назначения

Настройка перенаправления Моих документов также является хорошей идеей, чтобы избежать пользовательских документов в перемещаемом профиле; они будут потеряны, если вам придется удалить профиль пользователя из-за повреждения, а профили пользователей редко резервируются так же, как файловые серверы.

Этот параметр находится в [Конфигурация пользователяНастройки WindowsПеренаправление папокМои документы].

Существуют и другие параметры перенаправления, меню «Пуск» и данных приложения, но я не буду касаться их в этой статье.

Но перенаправление папок — отличный инструмент, но его всегда следует использовать с целью улучшения работы для пользователя, а не просто для перенаправления папок, поскольку это также означает увеличение сетевого трафика, а в крупных организациях это может стать предметом дискуссий в отдел ИТ.

Блокировка и настройки

Блокировка терминального сервера во многом зависит от требований организации. Трудно иметь стандартный шаблон, который подходит для любого типа организации, но я считаю полезным иметь в своем наборе инструментов множество инструментов групповой политики. Многие различные настройки были прокомментированы другими авторами, и я коснусь их лишь вкратце. Вместо этого я попытаюсь объяснить некоторые параметры групповой политики, которые я применяю, чтобы пользователи чувствовали себя как дома. Основные рекомендации по блокировке сервера терминалов см. в разделе Как заблокировать службы терминалов. Важно помнить об этих настройках, что их можно использовать вместе или распространять в разных политиках, применяемых к разным группам пользователей.

[Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsСлужбы терминалов]
Здесь я хотел бы поговорить об опции «Установить путь для перемещаемых профилей TS». Эта опция дает нам уникальную возможность различать серверы. Если вы можете себе представить несколько типов серверов, было бы полезно иметь разные профили для разных типов серверов. Этот параметр переопределяет параметр установки пути для профиля службы терминалов для пользователя в Active Directory. Этот параметр также чрезвычайно полезен в ситуациях миграции, когда вы хотите перейти на новую версию, но не хотите рисковать своей производственной средой.

[Конфигурация пользователяАдминистративные шаблоныПанель управления]
Представленные здесь варианты часто обсуждаются относительно того, что лучше и что наиболее безопасно. У меня был большой опыт использования панели управления, и вместо использования «Запретить доступ к панели управления» просто используйте «Показать только указанные апплеты панели управления». Это не препятствует доступу к другим апплетам панели управления, но показывает только перечисленные объекты. Таким образом, пользователи сами могут изменить настройки мыши/клавиатуры, языковые настройки и настройки обмена для своего клиента Outlook.

В Интернете есть несколько списков, содержащих описания, какие CPL запрашивать для каких функций. Просто выполните поиск «список cpl панели управления».

[Конфигурация пользователяАдминистративные шаблоныГлавное меню и панель задач]
Эта группа опций — это то, что действительно меняет внешний вид для пользователей. Я хочу пробежаться по некоторым из них.

• Добавить выход из системы в меню «Пуск» ; Это мы хотим включить, так как позже мы удалим опцию выключения.
  
• Форсировать классическое меню «Пуск» ; Если ваши клиенты работают под управлением Windows 2000 или используют классическое меню «Пуск», я бы сделал то же самое для терминальных служб.
  
• Удалить и запретить доступ к команде «Завершение работы»; Это мы хотим включить по очевидным причинам.
  
• Удалить общие группы программ из меню «Пуск» ; Этот параметр удаляет ярлыки и папки, размещенные в меню «Пуск» «Все пользователи». Я включаю это, так как хочу создать собственное меню «Пуск».

[Конфигурация пользователяАдминистративные шаблоныКомпоненты WindowsПроводник Windows]
Здесь есть несколько важных настроек; Я укажу два:

• Скрыть указанные диски в «Моем компьютере» ; Эта опция может скрывать от пользователя локальные диски сервера.
  
• Запретить доступ к дискам с Моего компьютера ; Эта опция запрещает пользователю доступ к локальным дискам сервера, но не мешает пользователю запускать свои приложения.

Если вы переназначаете диски своего сервера на что-то другое, кроме A, B, C и D, вам следует взглянуть на такие инструменты, как Hidecalc, или создать собственный файл.adm. Вот пример.

[Конфигурация пользователяНастройки WindowsСценарииВход в систему]
Эта опция позволяет нам запускать скрипт на основе пользователя или группы; Я часто использую это для запуска сценариев персонализации для приложений, которые вызывают проблемы, и для создания пользовательского меню «Пуск».

Создание меню «Пуск» простым и последовательным способом

Когда пользователи подключаются к удаленному рабочему столу, будь то службы терминалов, Citrix Presentation Server или другой продукт, они ожидают, что будут использовать его так же, как дома. С этой целью я всегда хочу создавать элементы меню «Пуск» с нуля, когда пользователь входит в систему. Таким образом, пользователь может извлечь выгоду из своего домашнего опыта и с большей вероятностью оценит серверную среду. Для этого я часто использовал сценарии для создания меню «Пуск» и не раз обнаруживал, что тратил слишком много времени на создание замечательных сценариев VBScript только для того, чтобы понять, что, когда мои коллеги или системный администратор на месте хотят что-то изменить, они считают это слишком сложным..

Чтобы изменить этот факт, я применил другой подход к меню «Пуск», которое состоит из двух частей.

IconStore

Чтобы иметь согласованный набор значков/ярлыков для меню «Пуск» и папки «Программы» на рабочем столе, вы можете создать иерархию в IconStore. Файлы в корне магазина будут помещены в корень папки «Программы» в меню «Пуск». Папки в корне IconStore будут созданы в корне папки «Программы» в меню «Пуск» и так далее.

Создав IconStore, нам нужно определить, какие пользователи получат какие ярлыки приложений. Это легко сделать с помощью прав NTFS, и обычно я бы рекомендовал создать группу пользователей в вашем активном каталоге для каждого приложения или группы приложений с именем, например, TS-Mediaplayer или подобным. Затем вы можете просто отключить наследование разрешений из родительского каталога с помощью расширенного крана:

И после этого вы можете добавить группу пользователей с правами на чтение файла.

Эти простые шаги нужно будет повторить для каждого файла или папки, и все готово.

Скрипт для управления пользовательским меню Пуск

Я делаю простой скрипт командной строки для выполнения простых действий при входе в систему. Я помещаю сценарий в GPO в разделе [User ConfigurationWindows SettingsScriptsLogon]. В скрипте я выполняю следующие задачи:

1. Удалите часть «Программы» в меню «Пуск» профиля пользователя.

2. Удалите папку, которую я создал на рабочем столе.

3. Создаю папку «Программы», а папку «Значки» размещаю на рабочем столе.

4. Я копирую значки, на которые у пользователей есть соответствующие права NTFS, в IconStore.
(в этом примере я использую robocopy, вы можете найти его в RESKit для Server 2003, просто скопируйте его в c:windowssystem32 или аналогичный)

Простой скрипт для выполнения действий выше.

Это даст вам рабочий стол с папкой «Программы» и меню «Пуск», состоящим из значков и папок с правами доступа для пользователя в IconStore.

Резюме

Пользователи, работающие на терминальных серверах, которые мы предоставляем, ожидают, что мы предоставим инструменты, необходимые им для ежедневного выполнения своих обязанностей. Используя простые сценарии и групповые политики, можно сделать среду близкой к персональному компьютеру, не жертвуя при этом безопасностью.

использованная литература

Как заблокировать терминальные службы

Справочник по групповой политике