我正在使用 RDS 设置新服务器。我想使用组或用户控制我为 RDS 主机安装的应用程序的访问。这可能吗?如何实现?
假设我有一组 5 个应用程序,供一组用户使用。一些用户可以访问应用程序 A,其他用户可以访问应用程序 B,其他用户可以访问应用程序 C。所有这些可能都重叠。
我想创建 5 个组:
- 应用 A 组
- 应用 B 组
- ETC。
然后将每个用户分配到他有权访问的应用程序组。这可行吗?这是正确的方法吗,还是还有其他针对此类配置的最佳实践?
谢谢。
答案1
使用 AppLocker。它允许您定义谁可以运行哪个可执行文件(按名称、文件夹、哈希或数字签名),其他所有可执行文件都将被拒绝。确保您允许默认可执行文件,向导将引导您完成此操作。
答案2
有几种方法可以实现此目的:
如果您的 RDS 主机是 W2K8R2 并且您想要使用 RD Web Access,那么您可以通过在 RemoteApp Manager 中配置和保护应用程序来限制每个组可以通过 RD Web Access 查看、访问和运行的应用程序。
如果您的 RDS 主机是 W2K8R2,您可以通过 RemoteApp 管理器为每个应用程序部署 RDP 文件,并通过在 RemoteApp 管理器中配置和保护应用程序来限制每个组可以运行的应用程序。
如果您的 RDS 主机是 W2K8 或 W2K8R2,您可以使用组策略中的软件限制策略,为每个组创建一个 GPO,并为每个组配置适当的软件限制策略,然后使用安全过滤将 GPO 应用于适当的组。
请注意,在 W2K8 中,您可以使用 RD Web 访问和 RemoteApp Manager 向用户提供应用程序,但您无法限制应用程序。在 RemoteApp Manager 中分配(保护)应用程序的功能仅在 W2K8R2 中可用。