[w2k server]policy remote desktop gebruik

Specs:
server: win2k server met terminal server niet lid van het domein (expres niet)
client: Windows XP Prof lid van een domein

Ofwel we hebben een aparte terminal server waar vooral klanten op werken. Deze is expres geen lid van ons interne domein maar is wel bereikbaar (zit op hetzelfde subnet)

Nu draait deze machine terminal services en iedereen die er een account op heeft mag er remote op inloggen. Nu wil ik dat restricten tot bepaalde werkplekken. Omdat de meeste gebruikers toch de 'remote desktop' tool (of in NL: start > programma's > bureau accesoires > communicatie > verbinding met extern bureablad) niet nodig hebben wil ik deze via een policy voor bepaalde gebruikers of computers disablen.

Nu kan ik echter nergens in de policy's een dergelijke setting vinden en ook geen extra snap-in voor Active Directory.

Een andere optie is het restricten van het gebruik van terminal server, hier kan ik echter geen pc's opgeven. Daarvoor zal ik waarschijnlijk een trust moeten maken of de server in het domein moeten hangen (hetgeen ik allebei eigenlijk niet wil hebben)

Ik wil dus het liefst een oplossing via de AD, weet iemand een snap-in waarmee dit kan?

Verwijderd schreef op 25 mei 2004 @ 16:15:
ummm, om aan te loggen op een ts server heb je een account nodig... lijkt me een behoorlijke restrictie...

Dat klopt zeker, maar we willen ook nog dat die accounts alleen gebruikt kunnen worden vanaf bepaalde werkplekken (en dus niet oncontroleerbaar overal)

elevator schreef op 25 mei 2004 @ 18:41:
Windows kent in principe zo'n restrictie inderdaad niet - dit is enigszins logisch omdat Terminal Services eigenlijk "AD"-onafhankelijk is (zo kan je bv. met een Linux PC gewoon inloggen op Terminal Services zonder problemen te ervaren).

Ik denk dat je het beste af bent met een simpele ip restrictie op de server waarmee je in het RRAS onderdeel van Windows dit blokkeert.

Wil je liever een client oplossing zou je bv. via een policy een 'deny' acl kunnen zetten op mstsc.exe

Ik ga je dat morgen nog even in het nederlands vragen

elevator schreef op 25 mei 2004 @ 18:41:
[snip]
Wil je liever een client oplossing zou je bv. via een policy een 'deny' acl kunnen zetten op mstsc.exe

kun je me een beetje in de richting wijzen?

mutsje schreef op 26 mei 2004 @ 08:56:
Je kunt het gebruik van Remote Desktop op clients restricten middens een policy. Dan mogen ze deze niet openen. Zie ook voor informatie over hoe je een TS server kunt dichtspijkereren volgend document. Locking down TS server 2003 een gelijkwaardig document staat op Technet ook voor TS Server 2000.

Die restrictie waar jij het over hebt kan ik dus nergens vinden.
Kon je ook niet gewoon de spelletjes uitzetten endergelijke? zo'n soort policy heb ik vast nodig

[ Voor 8% gewijzigd door zomertje op 26-05-2004 11:25 ]

Ik heb inmiddels ontdekt dat ik mensen de toegang tot het systeem kan ontzeggen, maar dit kan dus nog niet op basis van de pc..

http://support.microsoft....aspx?scid=kb;EN-US;231287 ben ik wel tegengekomen, maar ik kan dan nog geen policy zetten dat er niet remote mag worden gewerkt want dit is volgens mij alleen te regelen vanaf de server zelf...