Ограничение доступа к серверу MetaFrame
Локальные или доменные учетные записи Windows 2000 обычно имеют разрешение использовать терминальный сервер. Эти учетные записи необходимы для регистрации, но они также могут использовать терминальный сервер, если имеют допустимую учетную запись на сервере или в домене. Если пускать того, кого не следует, на терминальный сервер, то это не только создаст брешь в защите, но и будет потреблять терминальные лицензии (TS CAL). Поэтому вам необходимо ограничивать доступ пользователей к терминальному серверу. Для этого откройте свойства учетной записи пользователя (через MMC - Active Directory Users and Computers). На вкладке Terminal Services внизу окна снимите флажок Allow logon to terminal server (по умолчанию флажок установлен). После этого пользователь, для которого вы сделали это, не сможет войти на терминальный сервер.
Запрет доступа одинаково работает для сеансов ICA и RDP. При попытке пользователя, которому запрещен доступ, войти на терминальный сервер, ему будет выдано сообщение "Your interactive logon privilege has been disabled. Please contact your system administrator" (Ваши привилегии интерактивного входа зарещены. Обратитесь к системному администратору).
Конечно, запрет терминальных служб для индивидуальных пользователей подходит для из небольшого числа. Вам не следует использовать этот подход, если у вас много пользователей.
Если у вас клиенты Win2K или Windows XP, для предотвращения доступа к терминальному серверу вы можете использовать групповые политики. Для этого используйте оснастку Group Policy для MMC:
Сначала запретите вход на сервер MetaFrame. Вход на сервер MetaFrame считается локальным входом. Поэтому вы можете явно запретить отдельным группам локальный вход или запретить доступ для всех, а затем использовать групповую политику для разрешения доступа пользователям в некоторой группе. Политики Logon Locally и Deny Logon Locally находятся в редакторе политик в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.
Другой вариант состоит в использовании групповых политик для помещения pn.exe и wfica32.exe в список запрещенных приложений с опцией Don't Run Specified Windows Applications в User Configuration\System редактора политик. Пользователи, которые имеют учетные записи Windows 2000, не смогут запустить клиента MetaFrame, даже если клиент загружен на их компьютере для другого пользователя.
Если вы используете этот метод, то имейте ввиду, что эти исполняемые файлы все равно можно запустить с комадной строки. Таким образом, для окончательной защиты вы должны использовать групповую политику для запрещения командной строки .
