Настройка лимита времени сеанса для разных групп на RDS ферме

Обновлено 20.12.2018

RDS logoДоброго времени суток! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами разобрали механизм очистки папки Windows на RDS ферме. Сегодня так же поговорим про них, в данной заметке я бы хотел вам рассказать, о том, как можно задать время работы сеанса для разных пользователь, настроив им разные лимиты. Уверен, данный материал будет полезен, все у кого внедрена или планируется внедрение терминальных ферм.

Постановка задачи

Есть RDS-ферма из 15 хостов, на уровне коллекции произведены настройки на ограничения активного сеанса, времени разъединения. Данная настройка распространяется на всех участников, подключенных к ней. Хотелось бы иметь возможность для определенных групп пользователей переопределить настройки времени ограничения сеанса, бездействия и разъединения.

Открываем диспетчер серверов с собранной оснасткой управления RDS. Для настройки сеансов, вам нужно открыть свою коллекцию и в свойствах коллекции найти кнопку задачи, щелкнуть по ней и выбрать кнопку изменить свойства.

Просмотр свойств коллекции RDS

Переходите на вкладку "Сеанс". Тут будут три настройки распространяемые на сеанс пользователя, об их значении я уже писал в статье (Таймер входа в систему истек)

  • Окончание разъединенного сеанса
  • Ограничение активного сеанса
  • Ограничение бездействующего сеанса

Настройка времени сеанса RDS-02

Тут я напоминаю все лимиты действуют на всех пользователей, предположим, что я хочу чтобы пользователи из отдела продаж имели ограничение активного сеанса всего 10 часов, более им не нужно, как это сделать. В рамках общих настроек коллекций сеансов никак, но обходной путь есть и называется он групповые политики.

Изменение настроек сеанса через групповую политику

Для более тонкой настройки лимитов сеансов на RDS или терминальной ферме, вы может использовать групповую политику, я бы назвал, это точечной настройкой.

Хочу отметить, что настройки через GPO будут иметь больший приоритет, нежели чем в коллекции сеансов

Существует две ветки настроек, одна для пользователей, другая для компьютеров.

Вот ветка для пользователей:

Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Ограничения времени сеансов (Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Session Time Limits)

Вот ветка для компьютеров:

Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленного рабочего стола\Узел сеансов удаленных рабочих столов\Ограничения времени сеанса (User Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Session Time Limits)

Вы тут обнаружите 5 политик:

  • Задать ограничение по времени для отключенных сеансов
  • Задать ограничение времени для активных, но бездействующих сеансов служб удаленных рабочих столов
  • Задать ограничение по времени для активных сеансов служб удаленных рабочих столов
  • Завершить сеанс при достижении ограничения по времени
  • Задать предел для выхода из сеансов RemoteApp

настройка лимита сеанса RDS через GPO

Следуя из задачи, меня интересует третий пункт, который позволит задать другие значения максимального времени работы сессии. Открываем его и включаем. В выпадающем списке указываем на какой лимит времени нужно активировать. Теперь вам нужно либо применить эту политику на нужную OU, либо же сделать фильтрацию, если нужные вам пользователи лежат вместе с остальными, на кого политику применять ненужно. В фильтрах безопасности, нажмите добавить и выберите нужную группу, пользователей или компьютеры.

Настройка времени сеанса RDS-04

После чего удалите из фильтра безопасности группу "Прошедшие проверку".

Настройка времени сеанса RDS-05

Вот таким вот простым методом вы можете назначать персональные политики времени ограничения сессии пользователя на ферме RDS. С вами был Иван Семин, автор и создатель портала Pyatilistnik.org.

P.S. так же некоторыми настройками RDS-фермы можно управлять через реестр Windows в ветке: \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services

Автор - Сёмин Иван

2 Responses to Настройка лимита времени сеанса для разных групп на RDS ферме

  1. Сергей:

    Спасибо за статью , странно , но каменный цветок не выходит 🙁
    Ещё интересный момент если из фильтра безопасности удалить прошедших проверку и оставить только группу пользователей.. политика будет отфильтрована безопасностью.

    На другом форуме наткнулся на подобную сноску..

    Во всех предыдущих рекомендациях при необходимости использовать Security Filtering MS всегда советовали удалять группу Authenticated Users и добавлять группу безопасности пользователей с правами Read и Apply.

    После установки обновления MS16-072 /KB3159398 теперь для успешного применения политики, права Read на доступ к объекту GPO должны быть также и у учетной записи самого компьютера.

    А так как под Authenticated Users подразумеваются, как пользовательские, так и компьютерные учетки, то удаляя эту группу, мы тем самым блокируем доступ к GPO.

  2. Иван Семин:

    Да права для прошедших пользователей на вкладке делегирование нужно оставлять или для компьютеров домена, если политика на них, и уже фильтровать по фильтру безопасности. Вся эта канитель началась году так в 2016, после очередных обновлений

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *