Главная > Windows > Разрешаем/Запрещаем подключать локальные диски в терминальной сессии

Разрешаем/Запрещаем подключать локальные диски в терминальной сессии

Задача: организовать работу таким образом, чтобы «доверенные» пользователи могли подключать локальные диски в терминальной сессии, а «недоверенные» не могли.

Серверная система: Windows Server 2003 (в Windows 2008 все практически так же). После долгого гугления единственное, что пришло на ум:
  • создать еще одно подключение на терминальном сервере, которое будет работать на другом порту (например, на 3390);
  • на порту 3389 запретить подключение локальных дисков клиента, а на порту 3390 – разрешить;
  • разрешить подключаться к порту 3390 только «доверенным» пользователям.
Схема этого решения приведена на рисунке.
Схема работы решения
Примечание: далее курсивом выделяется перевод из [2]. Посредством explorer’а мы не можем добавить новый прослушиваемый порт на терминальном сервере, потому что нет таких опций. На самом деле, можем, но для этого необходимо, чтобы эти подключения были настроены на разных интерфейсах, или доступ к ним осуществлялся по разным протоколам, о чем и говорит появляющаяся при попытке обмануть судьбу ошибка. Однако нас такой вариант развития событий не устраивает. У нас есть один интерфейс, и нашу задачу необходимо решить именно на нем.
  1. Запустите на терминальном сервере regedit.exe.
  2. Перейдите к следующему разделу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ИМЯ_ПОДКЛЮЧЕНИЯ
  3. Экспортируйте эту ветвь реестра.
  4. Обзовите файл экспорта как хотите (прим. переводчика: перевод вольный)
  5. Измените в файле экспорта HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ИМЯ_ПОДКЛЮЧЕНИЯ на HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ИМЯ_ПОДКЛЮЧЕНИЯ2
  6. Найдите в файле экспорта строку PortNumber и измените числовое значение на нужное вам. Убедитесь, что вы записываете число в шестнадцатеричном формате.
Это числовое значение и есть номер порта, на котором принимаются входящие подключения.
  1. Сохраните изменения и импортируйте получившийся файл в реестр.
Теперь, если мы откроем оснастку «Настройка служб терминалов», то увидим новое подключение с указанным нами именем. Далее:
  1. Создаем группу TerminalDisksAllow, добавляем в нее «доверенных» пользователей.
  2. Запрещаем подключать диски клиента на первоначальном подключении.
  3. Разрешаем подключать диски клиента на только что созданном нами подключении и разрешаем подключаться к нему только группе TerminalDisksAllow.
  4. Уведомляем «доверенных» пользователей, что если они хотят выгрузить что-то из терминала на свой компьютер, то они должны подключиться не просто к серверу_терминалов, а к серверу_терминалов:наш_новый_порт.
  5. PROFIT 😉
  Статья была позаимствована и немного изменена с сайта bugaga0112358.wordpress.com
1 звезда2 звезды3 звезды4 звезды5 звезд (Рейтинг отсутствует)

Загрузка...
  1. Roman
    17 февраля 2018 в 23:30 | #1

    Отличное решение, работает и с 2012r2 сервером если установить оснастку управления как описано тут: http://winitpro.ru/index.php/2016/03/02/zapusk-osnastok-tsadmin-msc-i-tsconfig-msc-v-windows-server-2012-r2/

  2. 24 сентября 2018 в 10:08 | #2

    @Roman
    Да, на 2012 и 2016 можно и так, но есть проблема, что закладки «безопасность» нет в этих остастках, что делает решение не 100%. Если знаете как добавить еще безопасность с группами — сообщайте.

  1. Пока что нет уведомлений.


× 2 = шестнадцать

Heads up! You are attempting to upload an invalid image. If saved, this image will not display with your comment.