Qual é a sua diretiva de grupo básica de bloqueio para servidores de serviços de terminal?

2

Estou procurando orientação em algumas configurações gerais para configurar uma política de grupo de servidores dos Serviços de Terminal. Ele está executando o Server 2003 Standard e hospeda cerca de 20 pessoas simultaneamente.

Obviamente, você pode ser muito granular e restritivo, mas eu estou procurando uma linha de base boa e genérica para começar a balancear a segurança com a usabilidade. Vou ajustar conforme necessário.

Meus requisitos gerais são:

  • Os usuários não podem instalar novos softwares, drivers ou atualizações de qualquer tipo.
  • Os dados do usuário (Word, Excel, PDF etc.) devem ser armazenados em unidades de rede, e não no sistema de arquivos local.
  • Os usuários não devem poder modificar as configurações do servidor, reiniciar o servidor, desligá-lo, modificar as opções de energia, etc.
por Kyle Noland 23.06.2009 / 17:19

2 respostas

4

Você obterá a grande maioria do que deseja com os usuários sendo executados com contas sem privilégios. Se você permitir que os usuários executem contas "Administrador" em sua máquina do servidor de terminal, você está pedindo que a caixa seja destruída quase que imediatamente. (Além disso, os usuários não deveriam nem estar usando seus desktops para o dia-a-dia com direitos de "Administrador". O computador do terminal server é apenas um grande PC de várias cabeças e não é diferente dos PCs desktop nesse aspecto. .)

Além disso, parece que você vai querer redirecionamento de pasta para obter "My Documents" (e possivelmente as pastas "Desktop" e "Application Data") no servidor onde você deseja armazenar os dados do usuário. Você não conseguirá impedir que os usuários sejam salvos nos diretórios "Temp" por usuário ou no perfil do usuário (sem quebrar o funcionamento do sistema operacional). O redirecionamento de pastas e a educação do usuário são seus amigos. No entanto, não ter direitos de "Administrador" limita seriamente o número de lugares que os usuários podem armazenar arquivos e aumenta a probabilidade de que eles salvem arquivos no lugar certo.

Geralmente, eu uso um objeto de diretiva de grupo definido no processamento de diretivas de loopback do modo "Substituir", aplicado à unidade organizacional com os computadores do servidor de terminal. (Este é um ótimo aplicativo para o processamento de política de loopback de política de grupo - você deve ler sobre isso.)

Eu preencho esse GPO de loopback com todas as configurações por usuário que desejo aplicar aos usuários do servidor de terminal (geralmente personalizações do Microsoft Office, redirecionamento de pastas, ajustes na aparência do Windows, etc.).

Se você tiver vários servidores de terminal, recomendo definir um perfil de usuário móvel de serviços de terminal para cada usuário (para um local diferente do perfil de usuário móvel do Windows) para que o ambiente de serviços de terminal os "acompanhe" entre os diferentes máquinas do servidor de terminal.

Editar:

Se você decidir que deseja restringir quais programas o usuário tem permissão para executar, sugiro que consulte "Políticas de Restrição de Software" (consulte link ). Você pode impedir que os usuários executem aplicativos, exceto aqueles que estão armazenados em caminhos específicos (lugares que os usuários não têm permissão para gravar - "\ Arquivos de Programas ...", "\ Windows", etc) ou que possuem assinaturas. Se alguém fizer o download de um EXE para o diretório% TEMP% (um lugar onde ele pode gravar), ele descobrirá que o Windows não o executará.

    
por 23.06.2009 / 17:22
0

Eu gostaria de implementar alguma forma de restrição pesada de aplicativos. Impede-os de executar qualquer coisa diferente de sua suíte de escritório e qualquer outra coisa que eles precisam para o seu trabalho diário. Mesmo se eles estiverem bloqueados para que não possam executar malware, um aplicativo desonesto ainda poderá consumir recursos.

Desative o papel de parede nele; isso pode afetar o desempenho. Também force a 256 cores, a menos que haja uma necessidade real de aumentar.

    
por 23.06.2009 / 17:52