Цель данной статьи — тонкая настройка терминального сервера. Все скриншоты будут соответствовать версии Windows Server 2016. В результате такой настройки вы сможете повысить безопасность сервера и ограничить права терминальных пользователей.
Удаляем лишние команды из Проводника
Откройте редактор групповой политики (команда gpedit.msc) и перейдите в раздел Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Проводник (рис. 1.).
Рис. 1. Параметры Проводника
Как видите, есть много полезных и не очень групповых политик в Windows Server 2016. Рассмотрим несколько полезных. Так, Скрыть выбранные диски из окна Мой компьютер (рис. 2) позволяет удалить значки выбранных дисков из окна Этот компьютер (в последних версиях Windows это окно называется именно так).
Рис. 2. Ограничиваем доступ пользователей в Windows Server 2016 к определенным дискам
Впрочем, если пользователь окажется умным и введет путь диска (например, D:\) в окне Проводника, он сможет получить доступ к нему. Для таких умных пользователей предназначена групповая политика Запретить доступ к дискам через «Мой компьютер» (рис. 3).
Рис. 3. Запретить доступ к дискам
Неплохо было бы еще и запретить пользователю использовать окно Выполнить (открывается при нажатии Win + R). Для этого нужно включить групповую политику Отключить сочетания клавиш Windows + X. Правда, такая настройка «убьет» все сочетания, в том числе и Win + R, но отдельной групповой политики, которая бы отключала отдельные команды, в современных версиях Windows Server нет (хотя раньше была опция, скрывающая команду Выполнить)
Запрещаем доступ к командной строке и PowerShell
Окно Выполнить используют самые начинающие пользователи. Продвинутые пользователи используют или командную строку, или PowerShell. Запретить пользователям использовать командную строку можно, проведя настройку групповой политики Конфигурация пользователя, Административные шаблоны, Система, Запретить использование командной строки (рис. 4). Также включите опцию Запретить также обработку сценариев в командной строке, чтобы нельзя было запускать сценарии командной строки.
Рис. 4. Запрещаем использование командной строки в Windows Server
Отдельной групповой политики, запрещающей запуск PowerShell, нет, но есть групповая политика, запрещающая запуск определенных приложений. Она называется Не запускать указанные приложения Windows и находится все в том же разделе Система. Включите ее и запретите запуск powershell.exe and powershell_ise.exe (рис. 5).
Рис. 5. Запрет запуска PowerShell
Также, пока вы еще не «ушли» из раздела Система, неплохо было бы запретить запуск редактора реестра. Для этого включите Запретить доступ к средствам редактирования реестра.
Максимальное время работы пользователя
Групповая политика Конфигурация пользователя, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Ограничение сеансов по времени, Задать ограничение по времени для активных сеансов служб удаленных рабочих столов позволяет задать максимальную продолжительность сеанса. Ее можно установить, например, в 8 часов.
Рис. 6. Ограничиваем время сеанса
К сожалению, эта настройка не помешает пользователю снова залогиниться на сервере. Ограничить время входа на сервер можно только с помощью оснастки Пользователи и компьютеры Active Directory, но далеко не все терминальные серверы являются контроллерами домена, к сожалению. Разворачивать контроллер домена только ради этой функции не хочется (например, если терминальный сервер у вас используется только ради совместного доступа к 1С, нет смысла проводить настройку контроллера домена).
Рис. 7. Установка времени входа учетной записи в Windows Server
Отключение элементов панели управления
С помощью групповых политик можно отключить некоторые элементы панели управления. В разделе Конфигурация пользователя, Административные шаблоны, Панель управления находятся две замечательных групповые политики — Скрыть указанные элементы панели управления и Запретить доступ к панели управления и параметрам компьютера. Первая позволяет запретить выбранные элементы панели управления, а вторая вообще запрещает доступ к панели управления и к параметрам компьютера.
Надеюсь, прочитав эту статью, администратору будет немного спокойнее — ведь теперь пользователи смогут сделать гораздо меньше, чего стоит только отключение командной строки и PowerShell.
Стало недостаточно просто локального админа и нужно создать новую учетку на Windows Server 2016? А еще и снабдить УЗ правами на RDP (Remote Desktop Protocol)? Легко – займет 3 минуты твоего времени. Переходим к делу.
узнай больше на курсе
Онлайн-курс по Linux
Курс по Linux от Мерион Нетворкс — стань Linux администратором, прокачай свой скиллсет умением работать с операционными системами линукс и сделай большой шаг к DevOps
Полный курс по сетевым технологиям
Полный курс по сетевым технологиям от Мерион Нетворкс — учим с нуля сетевых инженеров и DevOPS специалистов
DevOps-инженер с нуля
Стань DevOps-инженером с нуля и научись использовать инструменты и методы DevOps
Что у вас должно быть
- Собственно, сам сервер с Windows Server 2016. Куда же без него;
- Вы должны быть подключены к серверу под администратором (локально или через RDP – не важно).
Шаг 1. Создаем пользователя
Нажмите правой кнопкой мыши на стартовое меню и найдите Computer Management. Кликните на него:
В меню навигации раскройте список Local Users and Groups и нажмите на Users:
Нажмите правой кнопкой мыши и выберите New User. Осталось только заполнить данные о новом пользователе: юзернейм, полное имя, описание и пароль. Особое внимание к галочкам User must change password at next logon (смена пароля после первого входа) и Password never expires (пароль никогда не устаревает – его не нужно менять регулярно):
По окончанию настройки нажмите Create. Готово!
Шаг 2. Даем права на RDP
Нажимаем на Groups и выбираем Remote Desktop Users/ — мы добавим созданного в шаге №1 пользователя в эту группу тем самым, дадим ему права на RDP подключение:
Дважды кликните на Remote Desktop Users и нажмите кнопку Add:
В поле Enter the object names to select начните вводить имя созданного ранее пользователя и нажмите Check Names:
Имя пользователя заполнится автоматически до нужного формата. Нажмите OK в двух местах чтобы завершить настройку:
Шаг 3. Проверяем пользователя
Отключитесь от учетной записи администратора и подключитесь под новым пользователем. Работает!
Active Directory — служба каталогов, разработанная компанией Microsoft, которая используется для управления сетевыми ресурсами, пользователями и их учётными записями, а также для обеспечения безопасности. Настройка и управление Active Directory на VDS позволяет создать централизованную систему управления, что особенно полезно для компаний.
После того, как вы установили AD на виртуальный сервер и произвели его первоначальную настройку, вы можете переходить к использованию Active Directory для управления ресурсами вашего домена.
Создание подразделения и пользователя
Для запуска консоли управления AD откройте Server Manager и перейдите Tools ➝ Active Directory Users and Computers.
Чтобы создать новое подразделение, на строке вашего домена нажмите правую кнопку мыши и перейдите New ➝ Organizational Unit.
В открывшемся окне введите название создаваемого контейнера и нажмите ОК.
Для создания учётной записи в новом подразделении на строке контейнера нажмите правую кнопку мыши и перейдите New ➝ User. Затем введите информацию о новом пользователе: имя, фамилию, логин. Для перехода к следующему шагу нажмите Next.
Затем установите пароль для нового пользователя и задайте политики пароля, например, User must change password at next logon, Password never expires.
После чего завершите создание пользователя, нажав Finish.
Создание новой группы
Основное предназначение групп безопасности — управление доступом к ресурсам и правами в сети. Группы типа Security могут быть использованы для назначения разрешений на ресурсы, они поддерживают аутентификацию и авторизацию и могут применяться для настройки групповых политик. Группы типа Distribution используются только для распространения информации, такой как электронная почта. Данные группы не могут быть использованы для назначения разрешений на ресурсы и не участвуют в процессе аутентификации и авторизации. Если вам нужно управлять доступом к ресурсам и назначать разрешения, выберите Security. Если же вам нужно только распространять информацию, например, отправлять электронные письма группе пользователей, выберите Distribution.
Область применения определяет, где группа может быть использована и какие объекты могут быть её членами. Локальные группы домена (Domain local) могут использоваться только в пределах того домена, в котором они созданы. Такие группы используются для назначения разрешений на доступ к ресурсам. Глобальные группы (Global) могут использоваться для назначения разрешений как в своём домене, так и в других доменах леса. Они часто включаются в локальные или универсальные группы для делегирования прав доступа. Универсальные группы (Universal) могут использоваться для назначения разрешений на ресурсы в любом домене в лесу. Они полезны для крупных организаций с несколькими доменами, где требуется централизованное управление доступом.
Для создания новой группы на контейнере, внутри которого создаётся группа, кликните правой кнопкой мыши и выберите New ➝ Group. Далее введите имя группы и выберите тип группы — Security или Distribution. Также укажите область применения — Domain local, Global или Universal.
После чего нажмите OK для создания группы.
Управление членством в группах
Для управления членством в группах используется вкладка Member Of в свойствах пользователя. Чтобы добавить учётную запись в какую-либо группу, перейдите в данную вкладку и нажмите кнопку Add.
В окне Enter the object names to select введите начало названия группы и кликните Select.
Система найдёт группу, после чего нажмите ОК.
Кликните OK для сохранения внесённых изменений.
Настройка групповой политики
Групповая политика — это механизм управления, доступный в Windows, с помощью которого администратор может централизованно управлять операционными системами, приложениями и настройками пользователей в среде Active Directory. С использованием групповой политики можно устанавливать политики безопасности, конфигурировать рабочие среды пользователей, а также устанавливать программное обеспечение.
Для внесения изменений в настройки групповых политик откройте Server Manager и перейдите в Tools ➝ Group Policy Management.
В консоли Group Policy Management выберите домен или подразделение, к которому вы хотите применить политику. Кликните правой кнопкой мыши на выбранный объект и выберите Create a GPO in this domain, and Link it here.
Введите имя для новой политики и нажмите OK.
Чтобы отредактировать политику, на соответствующей ей строке нажмите правую кнопку мыши и выберите Edit.
В редакторе Group Policy Management Editor настройте параметры политики для пользователей и компьютеров. К примеру, вы можете изменить настройки политики безопасности, программного обеспечения, рабочего стола и многое другое.
Настройка доступа и прав
Для настройки доступа и прав пользователей, групп и организационных подразделений используется консоль Active Directory Users and Computers. Например, для делегирования управления какой-либо учётной записи кликните правой кнопкой мыши на подразделение, для которого вы хотите делегировать управление, и выберите Delegate Control.
В открывшемся окне визарда выберите пользователей или группы, которым необходимо предоставить административные права.
Нажмите Next для перехода к следующему шагу.
После чего выберите задачи, которые вы хотите делегировать, например, создание, удаление и управление учётными записями пользователей и групп.
Заключение
Настройка и управление Active Directory на VDS с Windows Server — это критически важный аспект для эффективного и безопасного функционирования сети, в том числе корпоративной. AD предоставляет централизованную платформу для управления пользователями, группами, ресурсами и политиками безопасности. Правильная конфигурация AD включает в себя установку и настройку контроллера домена, создание объектов и управление ими, настройку групповых политик, а также обеспечение надёжного резервного копирования и восстановления данных.
Групповые политики являются одним из самых эффективных способов управления компьютерной сетью, построенной на базе Windows-сетей. Групповые политики используют для упрощения администрирования, предоставляя администраторам централизованное управление привилегиями, правами и возможностями как пользователей, так и компьютеров сети.
При помощи политики возможно:
- назначать сценарии пользователя и сценарии компьютера, запускающиеся в конкретно указанное время;
- определять политики параметров пароля учетных записей, блокировку пользователей;
- распространять программное обеспечение на компьютеры сети при помощи публикации или назначения;
- выполнять набор настроек безопасности для удаленных машин;
- ввести контроль над доступом к windows-компонентам, системным ресурсам, сетевым ресурсам, утилитам панели управления, рабочему столу и экрану;
- проводить настройку по распределению прав на доступ к файлам и папкам;
- настраивать перенаправление определенных папок из профиля пользователя.
Групповые политики возможно применять сразу на нескольких доменах, на отдельных доменах, на подгруппах в домене, на отдельных системах.
Политики, применяемые к отдельным системам, называются локальными групповыми политиками. Такие политики хранятся только на локальном компьютере. Остальные групповые политики соединены в объекты и хранятся в хранилище данных Active Directory.
Управление групповых политик имеется только в профессиональных и серверных версиях Windows.
Для каждой новой версии Windows вносились новые изменения в групповую политику. В некоторых случаях старые политики не применяются на новые версии Windows.
Обычно большинство политик прямо совместимы. Это означает, что, как правило, политики, предоставленные в Windows Server 2003, могут использоваться на Windows 7 и более поздних, а также на Windows Server 2008 и более поздних. Однако, политики для Windows 8/10 и Windows Server 2012/2016 обычно не применимы к более ранним версиям Windows. Для того, чтобы узнать какие версии поддерживает политика, можно открыть окно ее свойств – там посмотреть на поле Требование к версии или поддерживается. В нем указаны версии ОС, на которых эта политика будет работать:
Редактирование групповых политик
Консоль редактирования групповой политики входит в состав сервера, ее требуется установить в диспетчере сервера как дополнительный компонент управления групповыми политиками:
После этого в составе программ меню Администрирование появляется задача Управление групповыми политиками.
В оснастке Управление групповой политикой назначаются политики к подразделениям, а благодаря иерархической структуре можно визуально понять к какой группе относятся какая-либо политика:
Групповая политика изменяется в редакторе управления групповыми политиками – для этого требуется выбрать команду Изменить в меню Действия. Так же новую групповую политику можно создать либо «с нуля», для этого выбираем Объекты групповой политики выбираем команду Создать в меню Действие. Записываем новое имя объекта групповой политики после этого нажимаем ОК. Можно скопировать в нее параметры уже существующей политики в зависимости от требуемой задачи.
Чтобы применить созданную политику, требуется установить для нее связь с соответствующим объектом службы каталогов в оснастке Управление групповой политикой:
Примененную политику можно настроить по фильтру безопасности. Таким способом параметры данного объекта групповой политики возможно разделить только для заданных групп, пользователей и компьютеров, входящих в домен:
Рекомендации по применению политик
Главное заключается в том, чтобы не изменять политику по умолчанию. Потому как если в политике возникнет какая-либо серьезная ошибка, то возврат к начальному состоянию приведет к удалению не только последних настроек, но и всех других параметров. Поэтому для административных действий по управлению системой создавайте новые политики, тогда для изменения настроек вам потребуется только отключать/включать привязку политик к организационной структуре.
Обработка одной политики с наибольшим числом назначенных параметров, не отличается по времени от обработки нескольких политик, в каждой из которых назначается только часть этих параметров. Поэтому удобнее создавать несколько политик, чем включать все изменения в одну.
Не стоит удалять ранее созданные групповые политики – желательно просто отключить привязку их от объекта службы каталогов. Они могут потребоваться в дальнейшем для анализа в случае каких-либо проблем.
В рамках нашей услуги ИТ-обслуживание мы не только настраиваем групповые политики, но и берем на себя обслуживание всей ИТ-структуры клиента, включая все настройки, обновления ПО и поддержку в режиме 24/7.
После установки Windows Server на VDS вам доступна только одна учётная запись — Administrator. Однако во многих случаях сервер нужен для работы нескольких человек — причём одновременной. В таких случаях в систему необходимо добавлять дополнительных пользователей — при условии, что у вас уже настроен терминальный сервер и подключено требуемое количество RDP-лицензий.
Добавление учётной записи в Windows Server 2016
Добавление учётной записи в Windows Server 2019/2022
Зачем нужны RDP-лицензии и где их взять
Для начала подключитесь к вашему серверу по RDP под пользователем Administrator. Если сервер только приобретён, для удобства работы можно сразу включить русский язык в настройках:
- Как добавить русский язык в Windows Server 2016
- Как добавить русский язык в Windows Server 2019/2022
Добавление учётной записи в Windows Server 2016
В Windows Server 2016 в панель управления можно перейти из контекстного меню при клике правой кнопкой мыши по меню «Пуск»:
В панели управления в разделе «Учётные записи пользователей» нажмите «Изменение типа учётной записи». Откроется список пользователей вашего сервера. Здесь выберите опцию «Добавить учётную запись пользователя»:
Запустится мастер создания пользователей. Введите логин, пароль, подтверждение пароля, подсказку и нажмите «Далее».
Система добавит новую учётную запись и отобразит её данные — имя и уровень прав. Для завершения настройки нажмите «Готово»:
После этого в списке пользователей появится новая учётная запись.
При необходимости вы можете изменить тип созданного пользователя — дать ему права администратора. Для этого кликните на карточку учётной записи — откроется окно настройки:
В меню слева выберите «Изменение типа учётной записи» — система предложит настроить уровень доступа:
Укажите требуемый уровень прав и нажмите «Изменение типа учётной записи» для вступления настроек в силу.
На этом процесс создания пользователя на Windows Server 2016 завершён. Чтобы новый пользователь мог подключиться к серверу по RDP, ему потребуются следующие данные:
- IP-адрес вашего сервера / домен;
- логин пользователя;
- пароль пользователя.
Добавление учётной записи в Windows Server 2019/2022
Алгоритм создания пользователей на Windows Server 2019 и 2022 немного отличается. После подключения к серверу откройте меню «Пуск» и перейдите в раздел «Параметры».
В панели управления выберите раздел «Учётные записи».
Система перенаправит вас на страницу с данными текущего пользователя. В меню слева перейдите в раздел «Другие пользователи» и нажмите «Добавить пользователя для этого компьютера»
Запустится оснастка настройки локальных пользователей и групп. Выберите раздел «Пользователи» и в блоке «Действия» в соответствующем подразделе справа перейдите в меню «Дополнительные действия» — «Новый пользователь...»:
Система предложит ввести данные нового пользователя: логин, имя для отображения в системе, описание и пароль с подтверждением. После заполнения данных нажмите «Создать». Поля в форме сбросятся к пустому состоянию — при отсутствии ошибок это означает, что новый пользователь успешно добавлен.
После добавления нужного количества пользователей нажмите «Закрыть» — вы вернётесь к списку пользователей, где появятся созданные учётные записи.
По умолчанию новые учётные записи создаются со стандартным уровнем прав. Если вы хотите предоставить новому пользователю права администратора, вернитесь в Параметры — Учётные записи — Другие пользователи. Выберите созданного пользователя и нажмите «Изменить тип учётной записи».
В окне настройки выберите в списке «Тип учётной записи» уровень прав и нажмите «ОК».
На этом процесс добавления пользователя завершён. Чтобы новый пользователь мог подключиться к серверу по RDP, ему потребуются следующие данные:
- IP-адрес вашего сервера / домен;
- логин пользователя;
- пароль пользователя.
Зачем нужны RDP-лицензии и где их взять
По умолчанию в Windows Server одновременно могут работать только два пользователя уровня Administrator. Для совместной работы большего числа пользователей к серверу нужно подключить RDP-лицензии — по одной на каждого дополнительного пользователя. Их можно приобрести в Личном кабинете: для этого откройте раздел Товары — Виртуальные серверы, выберите ваш сервер в списке, сверху «Изменить».
В списке настроек услуги в блоке «Дополнительно» измените значение поля «Количество RDP-лицензий» и нажмите «В корзину». Стоимость одной RDP-лицензии составляет 1200 ₽ в месяц. После активации лицензия включается в стоимость сервера и автоматически продлевается вместе с ним.
После оплаты в течение получаса к серверу подключится наш системный администратор для активации лицензий и настройки терминального сервера.