Encontrei a seguinte pergunta, com uma premissa semelhante, porém a resposta à pergunta, foi a pergunta reformulada como uma declaração!
O RemoteApp impede que o usuário execute a área de trabalho remota
Como permito o RemoteApp, mas desaprovo a área de trabalho remota? Para permitir o aplicativo remoto, aparentemente tenho que adicionar os usuários ao grupo "Usuários da área de trabalho remota". Isso permite a área de trabalho remota.
Tentei usar o grupo "TS Web Access Computers", no entanto, isso não lhes dá autoridade para executar o RemoteApp.
Onde está a configuração para desativar a Área de Trabalho Remota, mantendo intactos os recursos do RemoteApp?
remote-desktop
windows-server-2008-r2
remoteapp
Brett Allen
fonte
fonte
Respostas:
Não há uma maneira "oficialmente sancionada" de fazer isso, porque, fundamentalmente, a funcionalidade TS RemoteApp está apenas aproveitando o código existente da Área de Trabalho Remota. Você pode fazer algo tolo como usar a Diretiva de Grupo para definir o shell do usuário como "logoff.exe", de modo que, se tentassem acessar a área de trabalho da máquina, eles seriam imediatamente desconectados. Qualquer aplicativo que use uma caixa de diálogo "Arquivo / Abrir" comum, no entanto, pode ser usado para obter um prompt de comando ou outros programas abertos na área de trabalho do servidor.
É melhor garantir que você siga o princípio do menor privilégio e conceda aos usuários do TS RemoteApp os poucos direitos necessários para executar o software pretendido. Se eles acabarem na área de trabalho do computador servidor, seus direitos restritos deverão impedi-los de fazer algo prejudicial ao computador servidor.
fonte
User Configuration/Policies/Administrative Templates/System/Custom User Interface
É melhor usar "Política de controle de aplicativos" nas configurações de segurança apenas para permitir apenas aplicativos ou scripts necessários se você usar o Windows 7 ou o Windows 2008 R2
fonte
Foi o que fiz para bloquear a área de trabalho para ficar acessível apenas para administradores de servidor e um grupo de AD nomeado. Os usuários que não são membros do grupo AD especificado receberão uma mensagem informando que devem usar o RDWeb e não o mstsc da área de trabalho / padrão.
Adicione a seguinte linha ao
%windir%\system32\USRLOGON.CMD
O código vbscript (adicione suas informações pessoais nas entradas <> abaixo)
fonte
execute o serviço remotos WS2008 TS no mac com este cliente http://www.thinomenon.com/downloads/thinrdc-0.2.8.rar
funciona bem
fonte
Você pode aproveitar o fato de que sessões completas do usuário iniciam o
userinit.exe
processo, enquanto as sessões do RemoteApp iniciam ordpshell.exe
processo. O AppLocker pode ser usado para impedir auserinit.exe
execução por usuários padrão.fonte