Настройка лимита времени сеанса для разных групп на RDS ферме
Доброго времени суток! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами разобрали механизм очистки папки Windows на RDS ферме. Сегодня так же поговорим про них, в данной заметке я бы хотел вам рассказать, о том, как можно задать время работы сеанса для разных пользователь, настроив им разные лимиты. Уверен, данный материал будет полезен, все у кого внедрена или планируется внедрение терминальных ферм.
Постановка задачи
Есть RDS-ферма из 15 хостов, на уровне коллекции произведены настройки на ограничения активного сеанса, времени разъединения. Данная настройка распространяется на всех участников, подключенных к ней. Хотелось бы иметь возможность для определенных групп пользователей переопределить настройки времени ограничения сеанса, бездействия и разъединения.
Открываем диспетчер серверов с собранной оснасткой управления RDS. Для настройки сеансов, вам нужно открыть свою коллекцию и в свойствах коллекции найти кнопку задачи, щелкнуть по ней и выбрать кнопку изменить свойства.
Переходите на вкладку "Сеанс". Тут будут три настройки распространяемые на сеанс пользователя, об их значении я уже писал в статье (Таймер входа в систему истек)
- Окончание разъединенного сеанса
- Ограничение активного сеанса
- Ограничение бездействующего сеанса
Тут я напоминаю все лимиты действуют на всех пользователей, предположим, что я хочу чтобы пользователи из отдела продаж имели ограничение активного сеанса всего 10 часов, более им не нужно, как это сделать. В рамках общих настроек коллекций сеансов никак, но обходной путь есть и называется он групповые политики.
Изменение настроек сеанса через групповую политику
Для более тонкой настройки лимитов сеансов на RDS или терминальной ферме, вы может использовать групповую политику, я бы назвал, это точечной настройкой.
Существует две ветки настроек, одна для пользователей, другая для компьютеров.
Вот ветка для пользователей:
Вот ветка для компьютеров:
Вы тут обнаружите 5 политик:
- Задать ограничение по времени для отключенных сеансов
- Задать ограничение времени для активных, но бездействующих сеансов служб удаленных рабочих столов
- Задать ограничение по времени для активных сеансов служб удаленных рабочих столов
- Завершить сеанс при достижении ограничения по времени
- Задать предел для выхода из сеансов RemoteApp
Следуя из задачи, меня интересует третий пункт, который позволит задать другие значения максимального времени работы сессии. Открываем его и включаем. В выпадающем списке указываем на какой лимит времени нужно активировать. Теперь вам нужно либо применить эту политику на нужную OU, либо же сделать фильтрацию, если нужные вам пользователи лежат вместе с остальными, на кого политику применять ненужно. В фильтрах безопасности, нажмите добавить и выберите нужную группу, пользователей или компьютеры.
После чего удалите из фильтра безопасности группу "Прошедшие проверку".
Вот таким вот простым методом вы можете назначать персональные политики времени ограничения сессии пользователя на ферме RDS. С вами был Иван Семин, автор и создатель портала Pyatilistnik.org.
P.S. так же некоторыми настройками RDS-фермы можно управлять через реестр Windows в ветке: \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
Спасибо за статью , странно , но каменный цветок не выходит 🙁
Ещё интересный момент если из фильтра безопасности удалить прошедших проверку и оставить только группу пользователей.. политика будет отфильтрована безопасностью.
На другом форуме наткнулся на подобную сноску..
Во всех предыдущих рекомендациях при необходимости использовать Security Filtering MS всегда советовали удалять группу Authenticated Users и добавлять группу безопасности пользователей с правами Read и Apply.
После установки обновления MS16-072 /KB3159398 теперь для успешного применения политики, права Read на доступ к объекту GPO должны быть также и у учетной записи самого компьютера.
А так как под Authenticated Users подразумеваются, как пользовательские, так и компьютерные учетки, то удаляя эту группу, мы тем самым блокируем доступ к GPO.
Да права для прошедших пользователей на вкладке делегирование нужно оставлять или для компьютеров домена, если политика на них, и уже фильтровать по фильтру безопасности. Вся эта канитель началась году так в 2016, после очередных обновлений