Как отключить удаленный рабочий стол Windows 11 и Windows 10

Как отключить удаленный рабочий стол Windows 11 и Windows 10

В Windows присутствует встроенная функция удаленного рабочего стола, которая может быть удобной, о чем подробнее в статье про Удаленный рабочий стол Microsoft (RDP), с другой стороны — если вы не используете функцию, из соображений безопасности разумным может быть её отключение.

В этой инструкции подробно о способах отключить функцию «Удаленный рабочий стол» в Windows 11 и Windows 10 так, чтобы к вашему компьютеру нельзя было подключиться по локальной сети, а отдельных сценариях — и через Интернет. На близкую тему: Лучшие программы удаленного рабочего стола.

Включение удаленного доступа через Свойства системы

Как и в предыдущих версиях Windows, в десятой версии данной операционной системы, можно управлять доступом к удаленному рабочему столу через свойства системы.

1. Для использования этого метода нужно открыть Свойства системы — проще всего это сделать, нажав на клавиши Win + R и выполнить там команду SystemPropertiesRemote . После выполнения этой команды откроется окошко Свойств системы с настройками удаленного доступа.
   
2. В данном окне нужно отметить пункт «Разрешить удаленные подключения к этому компьютеру», и нажать «Применить». После этого, компьютер будет готов к подключениям по удаленному рабочему столу. Подключаться смогут только пользователи, которые состоят в группе «Администраторы». Для того, чтобы это исправить, необходимо нажать на кнопку «Выбрать пользователей».
   
3. Откроется окно, где будет доступна кнопка «Добавить», с помощью которой можно добавить пользователей в список тех, кому доступен доступ к компьютеру через удаленный рабочий стол. Вписывать туда стоит логин или имя пользователя, для проверки корректности ввода воспользовавшись кнопкой «Проверить имена».
   

Запретить пользователям установку или запуск программ в Windows 10/8/7

Групповая политика

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

Установщик Windows , msiexec.exe , ранее известный как установщик Microsoft, – это механизм установки, обслуживания и удаления программного обеспечения в современных системах Microsoft Windows.

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: Windows System32 .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Как разрешить обычном пользователям использовать теневое подключение

В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).

К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:

wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corpAllowRDSShadow’,2

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Настройка удаленных приложений RemoteApp в Windows Server 2008 R2

Не все знают, что в дополнение к службе удаленных рабочих столов, в Windows Server 2008 R2 есть очень удобная служба удаленных приложений RemoteApp. Суть RemoteApp в том, что к любым приложениям, установленным на данном сервере, можно получить удаленный доступ с любого компьютера подключенного к сети. В этом случае, выполняться программа будет на сервере, но её окно будет прорисовываться так, если бы пользователь запустил программу с локального компьютера. Возможно сворачивать и разворачивать окно программы запущенной через RemoteApp, изменять его размеры и запускать сразу несколько программ вместе со своими локальными приложениями. Это очень удобный механизм, который может существенно облегчить администрирование некоторых программ и сократить расходы на их покупку.

Ниже я расскажу как настроить Удаленные приложения RemoteApp в Windows Server 2008 R2 на примере программы 1с:Предприятие 7.7.

0. Оглавление

1. Что понадобится

1. Компьютер с Windows Server 2008 R2 (об установке можно прочитать здесь)
2. Запущенный сервер терминалов на данном компьютере (об установке сервера терминалов читайте здесь)
3. Также, на этом компьютере должно быть установлено и настроено приложение, которое мы будем добавлять в RemoteApp, в моем случае это 1С:Предприятие 7.7 (об особенностях установки 1С:Предприятие 7.7 я писал здесь)

2. Создание RDP-файла или установщика для удаленной программы

Запускаем «Диспетчер удаленных приложений RemoteApp» («Пуск» — «Администрирование» — «Службы удаленных рабочих столов» ) и в меню «Действия» слева нажимаем на «Добавить удаленные приложения RemoteApp» .

В запустившемся мастере нажимаем «Далее» , выбираем необходимое приложение, затем снова «Далее» и «Готово» .

После чего данная программа появится в списке удаленных приложений RemoteApp. Выделив его в таблице нажимаем на «Создать RDP-файл» в меню слева.

Запустится «Мастер удаленных приложений RemoteApp» , нажимаем «Далее» и попадаем на окно «Задание параметров пакета» . Здесь можно выбрать каталог, куда сохранится RDP-файл, задать параметры шлюза удаленных рабочих столов, а также параметры сертификата для защищенных соединений. Но главное, можно поменять имя сервера и порт. Изначально выставлены имя компьютера и порт RDP по умолчанию. С такими настройками приложение будет доступно только из локальной сети. Если необходимо, чтобы программа запускалась и со всех компьютеров, подключенных к сети Интернет, то имя сервера нужно заменить на внешний IP-адрес, а также, по необходимости, изменить порт, который проброшен на маршрутизаторе для данного сервера, как показано на скриншоте ниже.

Порт также следует поменять, если вы меняли порт по умолчанию для сервера терминалов (о том как это сделать, можно прочитать здесь). Завершаем работу мастера нажав «Далее» и «Готово» , после чего в указанном каталоге найдем файл с расширением rdp.
Аналогичным образом можно создать msi-установщик, нажав на «Создать пакет установщика Windows» . При запуске получившегося таким образом установщика, он будет создавать RDP-ярлык на рабочем столе и в меню пуск с иконкой выбранного приложения.
Теперь, если запустить получившийся RDP-файл с другого компьютера в сети, то появится окно ввода логина/пароля для входа на сервер.

После ввода данных увидим окно 1С:Предприятие так, как будто мы запустили его с локальной машины.

3. Настройка пользователей

Если приложение будут запускать несколько пользователей с одинаковыми настройками, то необязательно добавлять каждого на сервер. Достаточно создать только одного пользователя, скажем User_1C (о том как создать пользователя можно прочитать здесь), настроить все параметры (список баз, принтеры пр.) для этого пользователя и разрешить множественные сеансы.

Для того чтобы разрешить множественные сеансы заходим в «Пуск» — «Администрирование» — «Службы удаленных рабочих столов» — «Конфигурация узла сеансов удаленных рабочих столов» кликаем 2 раза по «Ограничить пользователя единственным сеансом» , в окне свойств снимаем галочку «Ограничить всех пользователей одиночными сеансами» .

Значение должно поменяться на «Нет» .

Кроме этого, надо знать еще об одном нюансе. Дело в том, что при закрытии приложения, запущенного через RemoteApp, пользователь не выгружается автоматически, а отключенная учетная запись так и продолжает «висеть» на сервере. Чтобы изменить это, в свойствах пользователей, которые будут запускать приложения через RemoteApp, на вкладке «Сеансы» устанавливаем «Завершение отключенного сеанса» через 1 минуту.

На этом настройка закончена. Мы выполнили ее таким образом, что несколько человек одновременно могут работать с программой 1С:Предприятие 7.7 под одной учетной записью (для удобства работы можно создать несколько учетных записей, например, User_1c_Buh, User_1C_Operator, User_1C_Sklad и т. д. или же отдельную учетную запись для каждого пользователя).

Смотрите также:

Здесь будет рассказано как изменить политику паролей в Windows Server 2008. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно: Не содержать имени учетной записи пользователя…

Ниже будет рассказано о том, как добавить новое правило в Брандмауэр Windows Server 2008 R2. А конкретнее, будем добавлять разрешающее правило для порта 1433, который использует Microsoft SQL Server 2008 R2 или, как…

Иногда, при установке или запуске некоторых (часто устаревших) программ в Windows Server 2008 (справедливо и для Windows 7), можно наткнуться на ошибку вида: «Версия этого файла несовместима с используемой версией…

Как разрешить обычному пользователю RDP / удаленный доступ в Windows 7 и 10

RDP расшифровывается как Remote Desktop Protocol, который позволяет пользователю подключаться с другого компьютера через графический интерфейс через сетевое соединение. Он имеет защищенные правила и руководящие принципы для передачи данных, разработанных Microsoft. Пользователи могут подключаться как администратор или как обычный пользователь в зависимости от разрешений. Включение доступа для обычного пользователя может иметь множество причин, таких как; позволяя им работать на удаленном компьютере из любого места, предоставляя доступ к семье и друзьям для определенных программ в качестве обычного пользователя, но без прав администратора.

Сообщение об ошибке при входе в систему как обычный пользователь

Тем не менее, несколько пользователей Windows получают ошибку «Отказано в соединении» при попытке выполнить RDP со стандартной учетной записью на компьютере. Появится сообщение об ошибке: « В соединении было отказано, поскольку учетная запись пользователя не авторизована для удаленного входа ». Это происходит потому, что компьютер, к которому вы пытаетесь подключиться, не добавил стандартную учетную запись для удаленного доступа.

Разрешение обычного пользователя в Windows 7 и 10

Использование приложения «Подключение к удаленному рабочему столу» позволяет подключать компьютер Windows и управлять им с удаленного устройства. Но эта опция по умолчанию отключена, вам нужно сначала включить ее.

В Windows 7 и 10 у нас есть несколько различных методов, с помощью которых мы можем добавить стандартных пользователей для RDP. Вы можете попробовать любой из методов, чтобы добавить стандартного пользователя и позже получить к нему доступ, войдя в это имя пользователя через подключение к удаленному рабочему столу.

Метод 1: Добавление стандартного пользователя в свойствах системы (Win 7 и 10)

1. Удерживайте клавишу Windows и нажмите R, чтобы открыть Run . Теперь введите « SystemPropertiesRemote » в текстовое поле и нажмите ОК

Способ 2: добавление стандартного пользователя в локальные пользователи и группы (Win 7 и 10)

1. Если вы вошли в систему как администратор на ПК, то откройте « Выполнить », нажав ( Windows + R ) кнопки. Затем введите « lusrmgr.msc » и введите

Примечание : Проверка имени проверит в списке, чтобы увидеть, доступен ли введенный вами пользователь или нет

Способ 3: добавление стандартного пользователя с помощью PowerShell (Win 10)

1. Найдите « Windows PowerShell » и откройте его, выбрав « Запуск от имени администратора »

Ввод команды в PowerShell

Примечание. Пользователь будет именем пользователя учетной записи, которую вы добавляете.

Теперь можно приступать к «настройке» RemoteApp.

1. Запускаем «Диспетчер серверов» затем клик по кнопке «Добавить роли и компоненты».
2. В следующим окне ставим «птичку» возле «Установка служб удаленных рабочих столов».
3. На следующий вкладке следует поставить птичку напротив «Стандартное развертывание», если все три роли RDS мы разворачиваем в пределах одного сервера, тогда можно выбрать «Быстрый запуск»
4. На следующей вкладке нужно указать «Посредника к подключениям удаленного рабочего стола». Обычного одного сервера достаточно и нет смысла создавать еще больше посредников.
5. Кликаем по кнопке «Далее» и уже на следующий вкладке нужно указать «Сервер ВЕБ доступа к удаленным рабочим столам». Благодаря этому серверу пользователи смогут скачать с «веб сайта» опубликованные программы ( и 1С Предприятие в том числе).
6. Как и в случае с «посредником» одного сервера почти всегда будет достаточно, поэтому ставим птичку возле «Установить службу роли веб-доступа к удаленным рабочим столам на сервере посредника подключений к удаленному рабочему столу».

На следующем шаге нам предстоит указать сервер или серверы узлов сеансов удаленных рабочих столов.

• Именно на этих серверах будут созданы (при подключении) сессии пользователей в которых и будут работать наши удаленные приложения, то-есть 1С-ка.
• Соответственно если пользователей что работают в 1С у Вас много и один сервер уже не справляется, тогда здесь следует добавить несколько серверов. (Предварительно не забывая добавить их в ПУЛ серверов).
• Затем клик по кнопке «Далее» и клик по кнопке «Развернуть».

Если все три роли получили у Вас статус «Успешно», тогда мне остается Вас только поздравить, Вы подняли RemoteApp на основе сеансов для 1С Предприятия.

Продолжим настройку.

1. Запускаем «Диспетчер серверов» на сервере RDS. Теперь мы видим еще одну вкладку RDS. Выбираем ее и клик по ссылке «Создание новой коллекции». После чего стартует мастер который позволит нам создавать коллекции.
2. И зададим имя новой коллекции, например 1С (Для всех программ, версий и клиентов 1С). Очень рекомендую для каждого типа программ создавать новую коллекцию.
3. На следующей вкладке укажем сервер узлов сеансов удаленных рабочих столов.
4. На этом сервере у Вас уже должна быть установлена 1С-ка.
5. На вкладке «Настройка групп пользователей» нам нужно выбрать те группы пользователей, для которых будут доступны приложения из коллекции «1С».
6. После того как нужные группы для коллекции «1С» добавлены, кликаем по кнопке «Далее».
7. Закрываем мастер и переходим на новую уже вкладку коллекции «1С». В окне «Удаленные приложения REMOTEAPP», выполним клик по ссылке «Публикация удаленных приложений RemoteApp».
8. Теперь в окне выбора приложений, выберем те приложения, которые мы хотим опубликовать в нашей коллекции «1С». Выбираем 1С Предприятие, которое уже должно быть установлено на всех серверах -узлах сеансов удаленных рабочих столов, если конечно у Вас таких несколько, иначе только на текущим сервере ставим и выбираем 1С.
   Осталось лишь кликнуть по кнопке «Опубликовать»

После успешной публикации 1С Предприятия в коллекции «1С» мы можем вернутся в коллекции и теперь нам будет доступны новые возможности по управлению нашими «RemoteApp-ами». Мы видим, что уже опубликовано, статус удаленного приложения, есть возможность добавить или удалить наши «RemoteApp-ы».

Теперь работа на серверах у нас завершена и мы можем отправится на клиентский ПК для того, чтоб работать в 1С Предприятии через RemoteApp.

голоса

Рейтинг статьи

Читайте так же:

Можно ли ездить если подтекает масло?