restringir janelas do desktop remoto

Por que você está destacando o Remote Desktop? Por que não incluir VNC, GoToMyPC e assim por diante?

Não há uma maneira infalível de fazer isso realmente. Se você se esforçar para bloquear o máximo possível, terá que trabalhar muito.

Você pode configurar seu firewall para bloquear tudo, exceto o que você permitir explicitamente e, em seguida, permitir apenas as coisas que você controla. Dê aos seus administradores uma maneira de abrir temporariamente furos ou vpn ao redor do firewall. Você não pode simplesmente bloquear a porta comum para seus usuários, já que os usuários podem simplesmente configurar um VPN / Tunnel de algum tipo.

Ou você pode usar uma ferramenta para criar uma lista branca de todos os aplicativos permitidos em suas máquinas e bloquear todo o resto.

O Remote Desktop usa uma porta ou protocolo específico, acredito. Você pode restringir essa porta no nível de firewall ou de rede - tudo isso apenas para endereços IP específicos.

Altere as permissões do GPO no MSTSC.exe para que as permissões apenas para o grupo de administradores "executem"

Você deseja a seção "Restrições de software" da política de grupo. Há uma boa visão geral aqui link . Eu não trabalhei muito com isso, então eu não conheço os detalhes muito bem, mas você pode bloquear aplicativos por vários critérios diferentes e a opção "pular administradores" permite que os administradores façam o que quiserem.

A maneira mais fácil de lidar com essa situação é por meio da política de grupo, conforme mencionado acima. Isso permitirá que os administradores ainda usem a área de trabalho remota a partir da máquina local. Quanto ao VNC / Logmein / Gotomypc, use novamente a política de grupo para impedir que os usuários instalem softwares em suas máquinas. Pode ser um pouco complicado, mas se você estiver procurando por bloqueio, é a maneira mais fácil.

Se você não estiver usando uma política de domínio ou de grupo, basta tornar os usuários regulares ou usuários avançados, em vez de administradores.

Pergunta esclarecedora: Isso é motivado por preocupações de segurança de TI ou desempenho (largura de banda, etc.) ou por preocupações sobre os funcionários "roubarem" o tempo da empresa usando máquinas domésticas?

Se o primeiro problema, como outros pôsteres já mencionaram, há várias soluções alternativas - o GoToMyPC, por exemplo, usa o protocolo HTTP. Isso pressupõe que seus usuários sejam instruídos o suficiente para implementar essas alterações.

Se o segundo, então você deve considerar algumas soluções em nível de negócios. Se você for capaz de monitorar os computadores ou a atividade de rede de seus funcionários, sua empresa precisa simplesmente aplicar alguma forma de punição aos infratores - ameaçar multas, cortes de pagamento ou coisas piores.

De link :

If you need to add Domain users to the Remote Desktop Users group on an XP machine then you need to use restricted groups in GPO...

it is under Computer configuration/Windows settings/Security settings/restricted groups. Right click, add group, click browse to find domain users. Click ok and click add under This group is a member of... Type in Remote Desktop Users.

Funcionou bem para mim (em um domínio do Windows Server 2008 R2, é claro). Atualização: Certo, isso só daria direitos de acesso aos usuários do domínio no computador local

1. Definir "Permitir que usuários se conectem usando Serviços de Área de Trabalho Remota "em "Computador Configuração / Políticas / Administrativa Modelos / Componentes do Windows / Remoto Serviços de Área de Trabalho / Host / Conexões da Sessão da Área de Trabalho Remota "para true.
2. Adicionar usuários / grupo a "usuários da área de trabalho remota" em "Usuários e computadores do Active Directory"

Isso funcionaria. Desculpe pela minha má interpretação da pergunta.