すべてが揃っているようにWindows Serverを構成しますが、何もありません

Parallels Parallels Remote Application Server （RAS）は人間の顔をしたRDPですが、その機能の一部はWindows Server側（または使用する仮想マシン）で構成する必要があります。 RASを使用する際のWindows Serverの設定に関するParallelsテクニカルサポートチームからのMatvey Korovinの推奨事項がカットされています。

以下は、Parallels RAS（または単にターミナルサーバー）をより便利で安全にするグループポリシーです。 以下の構成をより的を絞って使用するには、Parallels RASユーザーのグループを個別に作成し、グループポリシーを適用することをお勧めします。

パート1 禁止

エクスプローラーの要素（ディスク、スタートボタンなど）を非表示にします
既定では、ターミナルサーバー\仮想マシンに接続すると、Remote Desktop Usersグループに追加されたユーザーには、完全に機能するデスクトップが表示されます。

ローカルドライブは彼に表示され、頻繁に利用可能になります。 同意します。これは、ユーザーが、たとえ権限が制限されていても、リモートサーバー上のローカルディスクおよびファイルにアクセスできる場合に、優れたセキュリティホールです。

正しいアクセス制御を設定し、それによって自分自身を保護したとしても、恐ろしいユーザーはターミナルサーバーのディスクをローカルディスクと混同し、それらのサポートを恐怖で呼びます。 この状況に対する最善の解決策は、ターミナルサーバーのローカルディスクをユーザーの好奇心itive盛な視線から隠すことです。

グループポリシーの場所：

ユーザーの構成\ポリシー\管理用テンプレート\ Windowsコンポーネント\エクスプローラー

そして、次のオプションの値を変更します。

• マイコンピューターでこれらの指定されたドライブを非表示 -このオプションの値を変更することにより、コンピューターメニューおよび関連するすべてのメニューから特定のドライブに関する記述を削除できますが、これはドライブへのアクセスを禁止しません。 ユーザーが絶対ディスクアドレスを設定すると、それが開きます。
• マイコンピュータからドライブへのアクセスを禁止 -特定のドライブへのアクセスを拒否します。 このオプションを有効にすると、ディスクへのアクセスが制限されますが、ディスクはファイルエクスプローラーに表示されます。

このグループポリシーを使用して、ユーザーから他に隠せるものは何ですか：

• [スタート]メニューから[実行]メニューを削除 -アクティブにすると、 メニューから[スタート]ボタンが削除されます
• Windowsエクスプローラーから[検索]ボタンを削除 -ここではすべてが簡単です。エクスプローラーでの検索は使用できません
• Windowsエクスプローラのデフォルトのコンテキストメニューを無効にする -この機能により、ユーザーはマウスを右クリックしてメニューを呼び出すことができなくなります（ポピーから古いマウスを購入し、1つのボタンに保存できます）。

このパートを書いた後、禁止に対する議会の情熱が目覚めた。 このような背景に対して、ユーザーにすべてを禁止する方法を教えてください。

そして、私たちは行きました：

コマンドラインの使用を禁止しています （ユーザーがCMDを開くことができる場合でも、アクセス拒否についての通知が表示された黒いウィンドウを賞賛する必要があります）

グループポリシーの場所：

ユーザー構成→ポリシー→管理用テンプレート→システム→コマンドpromtへのアクセスを禁止します。

値をenabledに変更します。

[ コマンドプロンプトスクリプト処理を無効にする ]オプションも 、ユーザーがスクリプトを実行できないようにします。

警告が1つあります。このオプションが有効になっているときにログオンスクリプトを設定している場合、それらは実行されません。

シャットダウン/再起動/スリープボタンを削除します （リモートユーザーが誤ってターミナルサーバーの電源を切った場合は残念です）

グループポリシーの場所：

ユーザー構成→管理用テンプレート→スタートメニューとタスクバー→シャットダウン、再起動、スリープ、および休止状態コマンドへのアクセスを削除して防止

このオプションを有効にすると、ユーザーはセッションのブロックまたはログアウトのみを行うことができます。

ログインで自動起動「サーバー管理」を無効にする
グループポリシーの場所：

コンピューターの構成→ポリシー→管理用テンプレート→システム→サーバーマネージャー→ログオン時にサーバーマネージャーを自動的に表示しない

値をenabledに変更します。

PowerShellの起動を無効にする
グループポリシーの場所：

ユーザー構成→ポリシー→管理用テンプレート→システム→指定されたWindowsアプリケーションを実行しない

このポリシーを有効にし、次のアプリケーションをそこに追加します
powershell.exeおよびpowershell_ise.exe

このポリシーは、インストールされている（インストールされていない）アプリケーションの起動を防ぐことができます。

コントロールパネル要素の非表示
グループポリシーの場所：

[ユーザーの構成]→[管理用テンプレート]→[コントロールパネル]→[指定されたコントロールパネルアイテムのみを表示]。

このポリシーを有効にすると、すべてのコントロールパネルのアイテムがユーザーに対して非表示になります。 ユーザーがアイテムにアクセスできるようにする必要がある場合は、それらを例外に追加します。

レジストリエディターの起動を禁止します
グループポリシーの場所：

ユーザー構成→ポリシー→管理用テンプレート→システム→レジストリ編集ツールへのアクセスを禁止

値をenabledに変更します。

すべて禁止
記事のこの部分に対する論理的な結論は、ユーザーをあらゆるものから禁止する方法に関する物語です。 ユーザーはリモートデスクトップに接続し、それを確認し、技術進歩の勝利を確認して切断する必要があると考えられています。

これを実現するには、Windowsレジストリにキーを追加するためのグループポリシーを作成する必要があります。

グループポリシーの場所：

ユーザー構成\設定\ Windows設定\レジストリ
[レジストリ]、[新規]、[レジストリ]の順に右クリックします

値が1の新しいREG_DWORD RestrictRunパラメーターをレジストリキーに追加します
HKCU \ソフトウェア\ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \

これで、ユーザーはシステム以外のアプリケーションを実行できなくなりました。

彼がCMDとPower Shellを使用するのを防ぐ方法は上記で説明されています。

ユーザーがアプリケーションを起動できるようにすることを（もっぱら親切に）決定する場合は、キーで作成することによって「許可リスト」に追加する必要があります。

HKCU \ソフトウェア\ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ RestrictRun

解決されたプログラムのシリアル番号を名前（奇妙なことに1から始まる番号）として使用し、解決されたプログラムの名前を値として使用する、string型の値。

例：

HKCU \ソフトウェア\ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ RestrictRun]
文字列名： "1" = "notepad.exe"
文字列名「2」=「calc.exe」

この構成では、ユーザーはメモ帳と電卓のみを起動できます。

これで、私は「禁止」の部分を終えたいです。 もちろん、さらにいくつかのNizyaに言及することもできますが、これらはすべてParallels ClientおよびParallels RASの組み込みポリシーを介して構成されます。

パート2 「時間と他のロマンス」

リモートセッションの時間制限の設定

ユーザーがバックグラウンドでアプリケーションを起動し、使用することさえできない場合があります。 通常のアプリケーションでこれが怖くない場合、バックグラウンドで起動された公開アプリケーション/デスクトップはライセンスを取得し、ライセンスがロシアにとってどれほどひどくても、お金がかかります。

この問題を解決するために、Microsoftの優秀な人々は、端末セッションのさまざまなステータスとそれらの時間制限を考え出しました。

ターミナルセッションのステータスは次のとおりです。

アクティブ -セッションはアクティブで、その中で何かが起こっています。 ユーザーがマウスを動かし、ボタンを押して、暴力行為の模倣を作成します
IDLE-接続はあり、セッションは実行中、アプリケーションは実行中ですが、ユーザーはアクティブではありません
切断 -ユーザーは十字をクリックして切断しました。 ログオフがどのようなもので、何を食べるのかをエンドユーザーに説明するのは無意味です。

IDLEセッションと切断セッションの時間枠を設定することをお勧めします。
それらでは何も起こりませんが、ライセンスが関係します。

グループポリシーを使用して、これを再度実現できます。

グループポリシーの場所：

ユーザー構成→ポリシー→管理用テンプレート管理用テンプレート→Windowsコンポーネント→リモートデスクトップサービス→リモートデスクトップセッションホスト→セッション時間制限

このスレッドにはいくつかのオプションがあります。 それらをすべて分析しましょう：

アクティブだがアイドル状態のリモートデスクトップサービスセッションの時間制限を設定する

アクティブセッションの最大実行時間。

アクティブなリモートデスクトップサービスセッションの時間制限を設定する

IDLEセッションの最大実行時間。

切断されたセッションの時間制限を設定する

切断されたセッションの最大稼働時間。

時間制限に達したらセッションを終了

このポリシーを有効ステータスに設定した場合、制限時間に達すると、セッションは切断されずに終了します。

時間制限の設定は、サーバーのパフォーマンスを最適化し、ソフトウェアコストを最適化するための重要なステップです。

ユーザーのログイン時間を設定するか、やり直しを拒否する
私たちはそれぞれ、朝、夕方、夜だけでなく、仕事の日もあります。 しかし、英国の（またはマルタの）科学者たちは最近、仕事から、病気になるか、死ぬことさえあることを発見しました。 仕事は非常に強力で危険な薬物です。そのため、お気に入りのユーザーを厳しく世話し、ユーザーがサーバーにログインできる時間を制限する必要があります。 そして、彼らはまた、自宅、休日、週末に働くことを決めました。 そして、グループの政治家はこれで私たちを助けてくれません。 実行時間の設定は、ユーザープロパティにあります。 この記事の最初のどこかで、Parallels RASのユーザーの特別に作成されたグループを使用してすべての操作を行うのが最適であると述べました。

画面の左下隅に移動し、スタートボタンを押してdsa.mscを印刷します
みんなのお気に入りのActive Directoryユーザーとコンピュータースナップインが開きます。

作成したParallels RASユーザーグループを見つけて右クリックし、プロパティに移動します。 [アカウント]タブには、グループの許可時間と禁止時間を選択する必要がある[ログオン時間]オプションがあります。

このセクションの結果：

1.あなたは素晴らしいです
2.リサイクルから救われたユーザーの命

パート3。 インタラクティブ

公開されたリソースを使用すると、多くの場合、サーバー上の行のすべてを禁止するだけでなく、ローカルリソースをリモートセッションにリダイレクトする必要があります。 プリンター、スキャナー、ディスク、サウンド、COMポートに問題がない場合、Parallels RASはWindowsからの追加設定なしで完全にリダイレクトし、USBデバイスとWebカメラのリダイレクトではそれほど簡単ではありません。

このタイプの機器をリダイレクトするには、サーバーだけでなくクライアントマシンでも星が正しい順序で収束する必要があります。

ユーザーのコンピューターで、次のグループポリシーを変更します。

コンピューターの構成→管理用テンプレート→Windowsコンポーネント→リモートデスクトップサービス→リモートデスクトップ接続クライアント→RemoteFX USBデバイスリダイレクト
有効に設定します

これで、クライアントのParallelsプロパティ（[ 接続プロパティ]→[ローカルリソース] ）で、接続されたUSBデバイスのどれをサーバーにリダイレクトするかを選択できます。

注：USBデバイスは、公開アプリケーションまたはローカルコンピューターで使用できますが、両方に使用することはできません。

サーバー側では、USBデバイスが機能するためにドライバーとすべての必要なソフトウェアをインストールする必要があります。 残念ながら、人類はまだすべての万能ドライバーを思いついていません。

これで、Parallels RASの操作に重要なWindows設定の概要を完成させたいと思います。



Z.Y. 長い間、このような長いテキストを書くことは不可能でした。したがって、この記事をマスターしたすべての人に大きな感謝をしています。