Разрешения для rdp
Вкладка Permissions свойств соединения RDP-Tcp показывает, что право использовать RDP разрешено администраторам и членам группы Remote Desktop Users. По умолчанию группа Remote Desktop Users пустая, поэтому чтобы позволить пользователям подключаться к терминальному серверу, вам необходимо добавить их в эту группу.
Как видно из рисунка, группа Remote Desktop Users по умолчанию разрешает доступ User Access. Каждый уровень доступа - гость, пользователь, полный контроль - идет с разным набором разрешений к сеансам на терминальном сервере. Чтобы полностью использовать мощь этих разрешений, вы должны понять, что предоставляет каждый из этих уровней доступа и какие доступны дополнительные опции.
Уровни доступа rdp
RDP предоставляет три основных уровня доступа: Guest Access (гость), User Access (пользователь) и Full Control (полный доступ). Уровень, назначенный группе, определяет возможности группы при подключении к терминальному серверу через RDP. Давайте разберемся с доступными разрешениями, а затем ассоциируем их с базовыми уровнями доступа. На следующем рисунке показан базовый список разрешений, а в таблице показано, как они относятся к пользователям.
Разрешение |
Описание |
Query Information |
Запрос информации через Terminal Services Administrator или с комадной строки утилитой QUERY. |
Set Information |
Изменение настроек и разрешений RDP. |
Remote Control |
Просмотр или удаленное управление сеансом другого пользователя |
Logon |
Вход на сервер |
Logoff |
Принудительное завершение сеанса другого пользователя |
Message |
Отправка сообщений в другие сеансы на сервере используя консоль Terminal Services Manager или с комадной строки командой MSG |
Connect |
Подключение к разъединенному сеансу того же пользователя |
Disconnect |
Принудительное отключение сеанса другого пользователя, оставляя сеанс на сервере в активном состоянии. |
Virtual Channels |
Использование виртуальных каналов - коммуникационных каналов, которые разрабочики могут использовать для расширения возможностей RDP. Пока System имеет это разрешение, пользователи могут использовать приложения, использующие виртуальные каналы. |
В следующей таблице показано, какие разрешения назначены уровням доступа. Вы можете использовать редактор ACL для создания особых наборов разрешений. Например, вы можете дать сотрудникам справочного стола почти все разрешения Full Control, кроме Set Information.
Permission |
Guest Access |
User Access |
Full Control |
Query Information |
|
X |
X |
Set Information |
|
|
X |
Remote Control |
|
|
X |
Logon |
X |
X |
X |
Logoff |
|
|
X |
Message |
|
|
X |
Connect |
|
X |
X |
Disconnect |
|
|
X |
Virtual Channels |
|
|
X |
Allow Logon to Terminal Server
Последнее требование для регистрации на терминальном сервере делается на уровне пользователей. В свойствах пользователей есть четыре вкладки, относящиеся к настройкам терминального сервера. Большинство из них затрагивают поведение сеанса при подключении пользователя к терминальному серверу. Вы можете использовать опцию Allow logon to terminal server чтобы целиком ограничивать способность пользователя подключаться к терминальному серверу. По умолчанию эта опция включена.
