如何在 Windows Server 2008 R2 中限制通过 RD 会话主机进行的应用程序访问?

如何在 Windows Server 2008 R2 中限制通过 RD 会话主机进行的应用程序访问?

我正在使用 RDS 设置新服务器。我想使用组或用户控制我为 RDS 主机安装的应用程序的访问。这可能吗?如何实现?

假设我有一组 5 个应用程序,供一组用户使用。一些用户可以访问应用程序 A,其他用户可以访问应用程序 B,其他用户可以访问应用程序 C。所有这些可能都重叠。

我想创建 5 个组:

  • 应用 A 组
  • 应用 B 组
  • ETC。

然后将每个用户分配到他有权访问的应用程序组。这可行吗?这是正确的方法吗,还是还有其他针对此类配置的最佳实践?

谢谢。

答案1

使用 AppLocker。它允许您定义谁可以运行哪个可执行文件(按名称、文件夹、哈希或数字签名),其他所有可执行文件都将被拒绝。确保您允许默认可执行文件,向导将引导您完成此操作。

答案2

有几种方法可以实现此目的:

  1. 如果您的 RDS 主机是 W2K8R2 并且您想要使用 RD Web Access,那么您可以通过在 RemoteApp Manager 中配置和保护应用程序来限制每个组可以通过 RD Web Access 查看、访问和运行的应用程序。

  2. 如果您的 RDS 主机是 W2K8R2,您可以通过 RemoteApp 管理器为每个应用程序部署 RDP 文件,并通过在 RemoteApp 管理器中配置和保护应用程序来限制每个组可以运行的应用程序。

  3. 如果您的 RDS 主机是 W2K8 或 W2K8R2,您可以使用组策略中的软件限制策略,为每个组创建一个 GPO,并为每个组配置适当的软件限制策略,然后使用安全过滤将 GPO 应用于适当的组。

请注意,在 W2K8 中,您可以使用 RD Web 访问和 RemoteApp Manager 向用户提供应用程序,但您无法限制应用程序。在 RemoteApp Manager 中分配(保护)应用程序的功能仅在 W2K8R2 中可用。

相关内容