How to apply GPOs on a Remote Desktop Server

Nu mai tin minte daca am mai discutat despre RDS/TS server si GPO insa oricum un refresh e binevenit de fiecare data.

Un server cu serviciul Remote Desktop Services reprezinta o metoda buna de a da acces utilizatorilor (locali/remote/mobili) la un environment controlat cu aplicatiile de care au nevoie pentru a-si face treaba. Problema e ca trebuie securizat pentru ca altfel orice modificare din partea unui user ii poate afecta si pe ceilalti ce acceseaza acelasi server.

Una dintre metodele prin care puteam securiza sau mai bine zis limita interactiunea userilor cu OS-ul serverului este un GPO ce va aplica restrictii. Dar sa vedem ce este specific unui GPO pentru un server de RDS.

Setarile din GPO trebuie sa le aplicam la nivel de server, in asa fel incat userul sa primeasca setarile doar cand se logheaza pe serverul de RDS nu si pe alte statii. Iar pentru asta exista GPO Loopback Processing ce il activam tot dintr-un GPO de la nivelul serverului.

Daca ne hotaram sa facem restrictiile in acelasi GPO atunci trebuie ca pe acest GPO sa setam si security filtering.

Si anume sa punem in security filtering doar userii de RDP si computer accountul serverului. Atentie sa nu puneti si administratorii in grupul de RDS pentru ca li se vor aplica si lor acele restrictii.

Mai departe e o chestie de gust, si anume ce sa restrictionam din GPO. Eu o sa va dau doar exemplul de mai jos prin care restrictionez accesul la Control Panel.

Dar lista cu ce puteti restrictiona e foarte mare si tine doar de voi cum vreti sa influentati experienta utilizatorului.