RDS 2012 R2. Разганичение доступа к приложениям внутри коллекции.

RDS Blog Homepage


При использовании сеансов удаленных рабочих столов существует одно существенное ограничение. Сервер сеансов (Session Host) или серверы сеансов объединенные в группу для обеспечения высокой доступности могут содержать только одну коллекцию. Для добавления новой коллекции надо добавить новый сервер (или группу серверов) сеансов.

Возникает справедливый вопрос, как разграничить права доступа к опубликованным приложениям используя лишь одну коллекцию? В этой статье я постараюсь раскрыть возможности разграничения доступа пользователей к терминальным приложениям используя группы Active Directory.

Во-первых в Active Directory я создам отдельный OU (Organization Unit) RemoteApp. В данном примере я рассмотрю вариант когда используется 3 удаленных, к которым нужно разграничить доступ:

  • WordPad
  • Paint
  • Калькулятор

Для доступа к этим приложениям я создам 5 групп:

  • DL_RemApp_Calc — группа пользователей, которые имеют доступ к калькулятору
  • DL_RemApp_WordPad — группа пользователей, которые имеют доступ к WordPad
  • DL_RemApp_Paint — группа пользователей, которые имеют доступ к Paint
  • DL_RemApp_WordPad-Paint — группа пользователей, которые имеют доступ к WordPad и Paint
  • DL_RemApp_All — группа пользователей, которые имеют доступ ко всем приложениям.

DL4

Конечно, для данного примера можно ограничиться всего 3 группами, добавляя пользователей в группу соответствующего приложения для предоставления доступа. Но для удобства я использую 2 дополнительные группы DL_RemApp_WordPad-Paint

DL3

и группу DL_RemApp_All

DL2

Теперь необходимо внести изменения коллекции удаленных приложений.

На закладке коллекции выбрать «изменить свойства» в контекстном меню опубликованного приложения (в этом случае Paint) для назначения прав доступа.

Rights-1

В открывшемся окне на закладке «Назначение пользователей» указать созданную для этого приложения группу Active Directory (для приложения Paint группа DL_RemApp_Paint).

Rights-2014-10-02 16_11_37-Свойства

Аналогичную операцию проделать и для других приложений.


 

Теперь исходя из потребностей в предоставлении доступа, пользователей можно поместить в соответствующие группы и они увидят только те приложения, которые им разрешены.

На примере Web Access это выглядит так:

Для пользователей группы DL_RemApp_Calc, доступен только калькулятор:

a.pavlov

Для пользователей группы DL_RemApp_Paint доступен только Paint:

m.kuznetsov

Для пользователей группы DL_RemApp_WordPad доступен только WordPad:

f.ivanov

Для пользователей группы DL_RemApp_WordPad-Paint доступен WordPad и Paint:

e.semenova

Ну и для пользователей группы DL_RemApp_All доступны только WordPad, Paint и калькулятор:

alekssh

Надеюсь будет полезно 🙂


 

Реклама

Об авторе Alexander Shestakov

MCITP, MCSE. Компания "Динамика"
Запись опубликована в рубрике RDS 2012 R2 с метками , , , , , . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

w

Connecting to %s