Добавление удаленных приложений RemoteApp и настройка глобальных параметров развертывания. Публикация и настройка удаленных приложений RemoteApp Запуск приложения в rdp окне

Всем привет! В первой части статьи мы рассмотрели, как устанавливать RemoteApp в Windows Server 2008 R2 , в данный части мы рассмотрим методы распространения программы через RemoteApp. Вы укажите, какие программные продукты и приложения должны быть представлены, через данную технологию. Что здорово, что их можно запускать на любом android устройстве.

Настройка списка RemoteApp

Итак начнем настраивать RemoteApp в Windows Server 2008 R2. Открываем пуск-Администрирование-Службы удаленных рабочих столов-Диспетчер удаленных приложений RemoteApp.

Откроется оснастка "Диспетчер удаленных приложений RemoteApp". В правом верхнем углу жмем "Добавить удаленные приложения RemoteApp".

Откроется мастер добавления приложения. Жмем далее.

Выбираем из списка приложение, у меня это будет Ccleaner . Хочу отметить, что в данном списке будут присутствовать только программы, которые доступны всем пользователям, то что установлено в локальный профиль конкретно пользователя тут не появится и если даже принудительно, это добавить работать не будет.

Теперь в пункте Удаленные приложения RemoteApp появилась программа Ccealner.

Теперь распространим наше приложение.

Распространить RemoteApp через RPD-файл.

Щелкаем правым кликом и выбираем создать RDP-файл.

В итоге в c:\Program Files\Packeged Programs у вас появился RDP файл.

Отдаем этот файлик клиенты, он его запускает. Нажимает подключить.

Вводит, логин и пароль

и у него открывается Ccleaner на сервере, но визуально он его видит как у себя, это полезно если есть ПО с одной лицензией а раздать его хочется многим.

Распространить RemoteApp через MSI-файл.

Тоже щелкаете правым кликом и выбираете Создать пакет установщика Windows.

При желании вы можете задать альтернативное место создания пакета, указать сертификат если нужно.

Ставим галки где должен быть создан ярлык на ПО.

Все в c:\Program Files\Packeged Programs у вас появился MSI файл

Устанавливаем его на клиенте или через групповые политики . Щелкаем на ярлык на рабочем столе и нажимаем подключить.

Суть RemoteApp в том, что к любым приложениям, установленным на данном сервере, можно получить удаленный доступ с любого компьютера подключенного к сети. В этом случае, выполняться программа будет на сервере, но её окно будет прорисовываться так, если бы пользователь запустил программу с локального компьютера. Возможно сворачивать и разворачивать окно программы запущенной через RemoteApp, изменять его размеры и запускать сразу несколько программ вместе со своими локальными приложениями. Это очень удобный механизм, который может существенно облегчить администрирование некоторых программ и сократить расходы на их покупку.

Ниже я расскажу как настроить Удаленные приложения RemoteApp в Windows Server 2008 R2 на примере программы 1с:Предприятие 7.7.

1. Что понадобится

1. Компьютер с Windows Server 2008 R2 (об установке можно прочитать )
2. Запущенный сервер терминалов на данном компьютере (об установке сервера терминалов читайте )
3. Также, на этом компьютере должно быть установлено и настроено приложение, которое мы будем добавлять в RemoteApp, в моем случае это 1С:Предприятие 7.7 (об особенностях установки 1С:Предприятие 7.7 я писал )

2. Создание RDP-файла или установщика для удаленной программы

Запускаем «Диспетчер удаленных приложений RemoteApp » («Пуск » — «Администрирование » — «») и в меню «Действия » слева нажимаем на «Добавить удаленные приложения RemoteApp » .

После чего данная программа появится в списке удаленных приложений RemoteApp. Выделив его в таблице нажимаем на «Создать RDP-файл » в меню слева.

Запустится «Мастер удаленных приложений RemoteApp » , нажимаем «Далее » и попадаем на окно «Задание параметров пакета » . Здесь можно выбрать каталог, куда сохранится RDP-файл, задать параметры шлюза удаленных рабочих столов, а также параметры сертификата для защищенных соединений. Но главное, можно поменять имя сервера и порт. Изначально выставлены имя компьютера и порт RDP по умолчанию. С такими настройками приложение будет доступно только из локальной сети. Если необходимо, чтобы программа запускалась и со всех компьютеров, подключенных к сети Интернет, то имя сервера нужно заменить на внешний IP-адрес, а также, по необходимости, изменить порт, который проброшен на маршрутизаторе для данного сервера, как показано на скриншоте ниже.

Порт также следует поменять, если вы меняли порт по умолчанию для сервера терминалов (о том как это сделать, можно прочитать ). Завершаем работу мастера нажав «Далее » и «Готово » , после чего в указанном каталоге найдем файл с расширением rdp .
Аналогичным образом можно создать msi-установщик, нажав на «Создать пакет установщика Windows » . При запуске получившегося таким образом установщика, он будет создавать RDP-ярлык на рабочем столе и в меню пуск с иконкой выбранного приложения.
Теперь, если запустить получившийся RDP-файл с другого компьютера в сети, то появится окно ввода логина/пароля для входа на сервер.

После ввода данных увидим окно 1С:Предприятие так, как будто мы запустили его с локальной машины.

3. Настройка пользователей

Если приложение будут запускать несколько пользователей с одинаковыми настройками, то необязательно добавлять каждого на сервер. Достаточно создать только одного пользователя, скажем User_1C (о том как создать пользователя можно прочитать ), настроить все параметры (список баз, принтеры пр.) для этого пользователя и разрешить множественные сеансы.

Для того чтобы разрешить множественные сеансы заходим в «Пуск » — «Администрирование » — «Службы удаленных рабочих столов » — «Конфигурация узла сеансов удаленных рабочих столов » кликаем 2 раза по «Ограничить пользователя единственным сеансом » , в окне свойств снимаем галочку «Ограничить всех пользователей одиночными сеансами » .

Значение должно поменяться на «Нет » .

Кроме этого, надо знать еще об одном нюансе. Дело в том, что при закрытии приложения, запущенного через RemoteApp, пользователь не выгружается автоматически, а отключенная учетная запись так и продолжает «висеть» на сервере. Чтобы изменить это, в свойствах пользователей, которые будут запускать приложения через RemoteApp, на вкладке «Сеансы » устанавливаем «Завершение отключенного сеанса » через 1 минуту.

На этом настройка закончена. Мы выполнили ее таким образом, что несколько человек одновременно могут работать с программой 1С:Предприятие 7.7 под одной учетной записью (для удобства работы можно создать несколько учетных записей, например, User_1c_Buh , User_1C_Operator , User_1C_Sklad и т. д. или же отдельную учетную запись для каждого пользователя).

Помогла ли Вам данная статья?

После подготовки сервера терминалов к выполнению удаленных приложений RemoteApp можно воспользоваться диспетчером удаленных приложений RemoteApp служб терминалов для следующих задач:

• 
  Добавление приложений в список удаленных приложений RemoteApp ;
• 
  Настройка глобальных параметров развертывания .

В диспетчере удаленных приложений RemoteApp служб терминалов можно также удалять и модифицировать параметры удаленных приложений RemoteApp, а также импортировать эти приложения и их параметры с другого сервера терминалов или экспортировать их на другой сервер терминалов. Дополнительные сведения приводятся в разделе Управление удаленными приложениями RemoteApp и их параметрами .

Добавление приложений в список удаленных приложений RemoteApp

Чтобы сделать удаленное приложение RemoteApp доступным для пользователей через механизмы распространения, необходимо добавить это приложение в список RemoteApp Programs (удаленные приложения RemoteApp). По умолчанию приложения, добавленные в этот список, доступны через службу веб-доступа к службам терминалов.

Для добавления приложений в список удаленных приложений RemoteApp необходимо:

1. запустить диспетчер удаленных приложений RemoteApp. Для этого необходимо нажать кнопку Start , выбрать пунктAdministrative Tools , затем выбрать пункт Terminal Services и щелкнуть пункт TS RemoteApp Manager (диспетчер удаленных приложений RemoteApp служб терминалов); 2. в панели Actions (д ействия) щелкнуть ссылку Add RemoteApp Programs ( добавление удаленных приложений RemoteApp); 3. на странице Welcome to the RemoteApp Wizard (мастер удаленных приложений RemoteApp) нажать кнопку Next ; 4. на странице (выберите программы для добавления в список удаленных приложений RemoteApp) установить флажок напротив каждой программы, которую нужно добавить в список RemoteApp Programs . Можно выбрать несколько программ; Примечание В списке Choose programs to add to the RemoteApp Programs list отображаются программы, найденные в общем для всех меню Start на сервер терминалов. Если необходимая программа отсутствует в списке, необходимо нажать кнопку Browse (обзор) и указать местоположение выполняемого EXE-файла программы. 5. для настройки параметров удаленного приложения RemoteApp необходимо выбрать имя программы и нажать кнопку Properties (свойства) . Можно настроить следующие параметры: имя приложения, которое будет отображаться пользователям. Для смены имени необходимо ввести новое имя в текстовом поле RemoteApp program name (имя удаленного приложения RemoteApp); путь к исполняемому файлу программы. Для изменения пути необходимо ввести новый путь в текстовом поле Location (размещение) или нажать кнопку Browse для выбора EXE-файла; Примечание В пути можно использовать системные переменные среды. Например, явное указания пути C:\Windows можно заменить на значение переменную %windir%. Переменные среды пользователя использовать нельзя. псевдоним для удаленного приложения RemoteApp. Псевдоним является уникальным идентификатором приложения, и по умолчанию он задан в виде имени файла приложения без расширения. Рекомендуется не менять это значение; доступность удаленного приложения RemoteApp через службу веб-доступа к службам терминалов. По умолчанию параметр RemoteApp program is available through TS We b Access (удаленное приложение RemoteApp доступно через службу веб-доступа к службам терминалов) включен. Для изменения значения параметра необходимо установить или снять флажок; разрешение, запрещение или явное указание аргументов командной строки; используемый значок программы. Для смены значка нужно нажать кнопку Change Icon (сменить значок). 6. после завершения настройки параметров программы нажать кнопку OK и затем нажать кнопку Next ; 7. на странице Review Settings (просмотр параметров) проверить параметры и нажать кнопку Finish (готово). Выбранные программы должны появиться в списке RemoteApp Programs .

Настройка глобальных параметров развертывания

Можно настроить глобальные параметры развертывания, которые будут применяться ко всем программам в списке RemoteApp Programs . и ко всем приложениям RemoteApp, доступным через службу веб-доступа к службам терминалов. Также, эти параметры будут использоваться в качестве параметров по умолчанию при создании RDP-файлов или пакетов установщика Windows для программ в списке удаленных приложений RemoteApp.

Примечание

Любые изменения параметров развертывания при создании RDP-файлов или пакетов установщика Windows с помощью диспетчера удаленных приложений RemoteApp служб терминалов преобладают над глобальными параметрами.

Глобальные параметры развертывания включают в себя:

• 
  параметры сервера терминалов ;
• 
  параметры служб терминалов ;
• 
  общие параметры RDP ;
• 
  особые параметры RDP ;
• 
  параметры цифровой подписи .

Настройка параметров сервера терминалов

Чтобы задать способ подключения пользователей к серверу терминалов (или ферме серверов терминалов) для доступа к удаленным приложениям RemoteApp, можно настроить параметры развертывания сервера терминалов.

Для настройки параметров сервера терминалов необходимо:

1. в панели Actions (задачи) диспетчера удаленных приложений RemoteApp служб терминалов щелкнуть ссылку Terminal Server Settings (параметры сервера терминалов). Также можно щелкнуть ссылку Change (изменить) в панели Overview (обзор) рядом с областью Terminal Server Settings ; 2. на вкладке Terminal Server в области Connection settings (параметры подключения) принять предлагаемые или ввести свои значения имени сервера или фермы серверов, номера порта RDP и параметров проверки подлинности сервера; Важно! Если флажок Require server authentication (требовать проверки подлинности сервера) установлен, следует иметь в виду следующее: если на некоторых компьютерах пользователей установлены ОС Windows Server 2003 с пакетом обновления 1 или ОС Windows XP с пакетом обновления 2, необходимо настроить использование на сервере терминалов SSL-сертификата. При этом использовать самозаверяющий сертификат нельзя; если удаленное приложение RemoteApp будет использоваться только в интрасети и на всех компьютерах пользователей установлены ОС Windows Server 2008 или ОС Windows Vista, то нет необходимости настраивать использование SSL-сертификата на сервере терминалов. Вместо сертификата используется сетевая проверка подлинности. 3. чтобы предоставить доступ ко всему рабочему столу сервера терминалов через службу веб-доступа к службам терминалов, нужно в области Remote desktop access (доступ к удаленному рабочему столу) установить флажок Show a remote desktop connection to this terminal server in TS Web Access (отображать подключение к удаленному рабочему столу этого сервера терминалов с помощью веб-доступа к службам терминалов); 4. в области Access to unlisted programs (доступ к отсутствующим в списке программам) нужно выбрать один из следующих вариантов: Do not allow users to start unlisted program on initial connection (Recommended) (не разрешать пользователям запускать не перечисленные программы при начальном подключении – рекомендуется) Чтобы защититься от злонамеренных действий пользователей или от случайного запуска пользователем программы из RDP-файла при начальном подключении, рекомендуется выбрать это значение параметра. Важно! Это значение параметра не предохраняет от запуска пользователями удаленных приложений, не перечисленных в списке, после подключения к серверу терминалов и запуска удаленного приложения RemoteApp. Например, если приложение Microsoft Word перечислено в списке RemoteApp Programs , а обозреватель Microsoft Internet Explorer не перечислен, пользователь все равно сможет запустить обозреватель, если запустит удаленный сеанс с приложением Microsoft Word, а затем щелкнет в документе гиперссылку. Allow users to start both listed and unlisted programs on initial connection (разрешить пользователям запускать перечисленные и не перечисленные программы при начальном подключении – рекомендуется) Внимание! Если выбрано это значение параметра, пользователи смогут запускать удаленно любые приложения с помощью RDP-файла при начальном подключении, даже те, которые не перечислены в списке RemoteApp Programs . Чтобы защититься от злонамеренных действий пользователей или от случайного запуска пользователем программы из RDP-файла при начальном подключении, рекомендуется не выбирать это значение параметра. 5. после завершения настройки параметров нажать кнопку OK .

Настройка параметров служб терминалов

Чтобы задать, смогут ли пользователи подключаться к серверу терминалов за пределами межсетевого экрана через шлюз служб терминалов, можно настроить параметры развертывания шлюза служб терминалов. Дополнительные сведения приведены в поэтапном руководстве по настройке шлюза служб терминалов, доступном по адресу http://go.microsoft.com/fwlink/?LinkId=85872 .

Для настройки параметров шлюза служб терминалов необходимо:

1. в панели Actions диспетчера удаленных приложений RemoteApp служб терминалов щелкнуть ссылку TS Gateway Settings ( параметры шлюза сервера терминалов). Также можно щелкнуть ссылку Change в панели Overview рядом с областью TS Gateway Settings ; 2. на вкладке TS Gateway (шлюз служб терминалов) настроить необходимый режим работы шлюза служб терминалов. Можно настроить автоматическое определение параметров сервера шлюза служб терминалов или использование указанных параметров. Также можно настроить, чтобы сервер шлюза служб терминалов не использовался. Если выбрано значение Automatically de tect TS Gateway server settings ( автоматически определять параметры сервера шлюза служб терминалов), клиент служб терминалов будет пытаться использовать параметры групповой политики для определения режима подключения пользователей к шлюзу служб терминалов. Примечание Дополнительные сведения о параметрах групповой политики для клиентов приведены в разделе помощи «Использование политики для управления подключениями клиентов через шлюз служб терминалов». Чтобы открыть помощь для шлюза служб терминалов на сервере с ОС Windows Server 2008, нужно нажать кнопку Start , выбрать пункт Run , ввести команду hh ts_gateway.chm и нажать кнопку OK . Если выбрано значение Use these TS Gateway server settings (использовать следующие параметры сервера шлюза служб терминалов), необходимо: а) задать имя сервера шлюза служб терминалов и способ входа; Важно! Имя сервера должно совпадать с именем, указанным в SSL-сертификате сервера шлюза служб терминалов. б) чтобы при подключении использовались одни и те же учетные данные пользователя для доступа к серверу шлюза служб терминалов и к серверу терминалов, необходимо установить флажок Use the same user credentials for TS Gateway and terminal server (использовать одинаковые учетные данные для шлюза служб терминалов и сервера терминалов). Тем не менее, пользователю все равно может быть предложен повторный ввод учетных данных, если учетные данные из разных источников вроде параметров групповой политики конфликтуют и не подходят для доступа. Также пользователям может потребоваться повторный ввод учетных данных, если для подключения используются учетные данные по умолчанию, и они не подходят; в) чтобы предоставить пользовательскому компьютеру автоматически определить необходимость использования шлюза служб, необходимо установить флажок Bypa ss TS Gateway server for local addresses (не использовать сервер шлюза служб терминалов для локальных адресов). Это позволяет оптимизировать производительность клиента служб терминалов. Чтобы все подключения проходили через шлюз служб терминалов, необходимо снять этот флажок. 3. после завершения настройки параметров нажать кнопку OK .

Настройка общих параметров RDP (необязательно)

Для подключений к удаленным приложениям RemoteApp можно настроить общие параметры RDP, такие как перенаправление устройств и ресурсов и некоторые параметры отображения. Эти параметры будут применяться при подключении пользователя к удаленным приложениям RemoteApp через службу веб-доступа к службам терминалов или с использованием созданного RDP-файла или пакета установщика Windows.

Для настройки общих параметров RDP необходимо:

1. в панели Overview Change возле области RDP Settings (настройки RDP); 2. в области Devices and resources ( устройства и ресурсы) настроить, какие устройства и ресурсы пользовательского компьютера нужно сделать доступными в удаленном сеансе; 3. в области User experience (взаимодействие с пользователем) включить или выключить сглаживание шрифтов и выбрать желаемое качество цветопередачи; 4. после завершения настройки параметров нажать кнопку Apply (применить); Примечание Для настройки дополнительных параметров RDP, например перенаправления звука, нужно открыть вкладку Custom RDP Settings (особые параметры RDP). Дополнительные сведения приведены в разделе Настройка особых параметров RDP . 5. нажать кнопку OK

Примечание

Если RDP-файлы не будут подписаны цифровой подписью или будут подписаны цифровой подписью, которую RDP-клиент не сможешь проверить (например, сертификатом от закрытого центра сертификации), некоторые параметры перенаправления устройств и ресурсов, заданные в диспетчере удаленных приложений RemoteApp служб терминалов, могут быть переопределены пользователем. Например, если на вкладке Common RDP Settings (общие параметры RDP) разрешены все параметры перенаправления, а пользователь подключается с помощью неподписанного RDP-файла, дисковые устройства и поддерживаемые самонастраивающиеся устройства не будут перенаправляться автоматически. Они будут перенаправлены, только если пользователь разрешит перенаправление этих устройств в предупреждающем диалоговом окно, которое появится при попытке подключиться к удаленному приложению RemoteApp. Такое поведение помогает снизить потенциальную уязвимость системы. Такое же поведение возникает, если на вкладке Custom RDP Settings разрешить перенаправление последовательных портов.

Настройка особых параметров RDP (необязательно)

Для подключений к удаленным приложениям RemoteApp можно настроить особые параметры RDP, например перенаправление звука. Эти параметры будут применяться при подключении пользователя к удаленным приложениям RemoteApp через службу веб-доступа к службам терминалов или с использованием созданного RDP-файла или пакета установщика Windows.

Примечание

Особые параметры RDP можно использовать, чтобы настроить рабочую папку для удаленных приложений. По умолчанию рабочая папка удаленного приложения RemoteApp совпадает с расположением исполняемая файла этого приложения. Если настроить рабочую папку в особых параметрах RDP, то этот параметр будет применяться ко всем приложениям RemoteApp, доступным через службу веб-доступа к службам терминалов, а также с помощью созданных RDP-файлов и пакетов установщика Windows. Чтобы настроить определенную рабочую папку для различных удаленных приложений RemoteApp, которые будут распространяться с помощью RDP-файлов или пакетов установщика Windows, можно настроить ее в особых параметрах RDP, создать RDP-файлы или пакеты установщика Windows, а затем убрать этот параметр из особых параметров RDP.

Для настройки особых параметров RDP необходимо:

1. в панели Overview диспетчера удаленных приложений RemoteApp служб терминалов щелкнуть надпись Change возле области RDP Settings (настройки RDP); 2. на вкладке Custom RDP Settings ввести или скопировать нужные особые параметры RDP в текстовое поле Cus tom RDP settings (особые параметры протокола удаленного рабочего стола – RDP). Чтобы скопировать параметры из существующего RDP-файла, нужно открыть этот файл в текстовом редакторе, например в блокноте, и скопировать нужные параметры; Важно! Глобальные параметры развертывания, доступные в диспетчере удаленных приложений RemoteApp служб терминалов, переопределить нельзя. Если попытаться это сделать, то их будет предложено убрать после нажатия кнопки Apply . Для создания RDP-файла, из которого можно скопировать настройки, необходимо: а) открыть клиент подключения к удаленному рабочему столу и нажать кнопку Options (параметры); б) настроить нужные параметры, например перенаправление звука; в) после завершения настройки на вкладке General (общие) нажать кнопку Save As (сохранить как) и сохранить RDP-файл; г) открыть RDP-файл в блокноте и скопировать нужные параметры в текстовое поле Custom RDP settings на вкладке Custom RDP Settings . 3. после добавления всех необходимых параметров, нажать кнопку Apply ; 4. в случае открытия диалогового окна Error with Custom RDP Settings (ошибка настраиваемых параметров RDP), необходимо: а) нажать кнопку Remove (удалить) для автоматического удаления неправильных параметров или параметров, которые нельзя переопределить, или нажать кнопку OK и удалить эти параметры вручную; б) после удаления параметров снова нажать кнопку Apply . 5. нажать кнопку OK чтобы закрыть диалоговое окно RemoteApp Deployment Settings (параметры развертывания удаленных приложений RemoteApp).

Настройка параметров цифровой подписи (необязательно)

Используемые для подключения к удаленным приложениям RemoteApp на сервере терминалов RDP-файлы можно подписать цифровой подписью. Также подписать можно RDP-файлы, используемые для подключения к удаленным приложениям или к рабочему столу сервера терминалов через службу веб-доступа к службам терминалов.

Важно!

Чтобы подключиться к удаленному приложению RemoteApp с помощью RDP-файла с цифровой подписью, необходим клиент для подключения к удаленному рабочему столу версии 6.1. Клиент RDC версии 6.1 (6.0.6001) поддерживает протокол удаленного рабочего стола версии 6.1.

При использовании цифрового сертификата, криптографическая подпись файла подключения содержит информацию об издателе файла, которую можно проверить. Это позволяет пользователям определить организацию, которая предоставляет доступ к удаленному приложению RemoteApp или удаленному подключению к рабочему столу, принять осознанное решение о доверии организации перед подключением и защититься от возможности использования RDP-файлов, в которые были внесены злонамеренные изменения.

RDP-файлы, используемые для подключения к удаленным приложениям RemoteApp, можно подписать SSL-сертификатом проверки подлинности сервера или сертификатом на подпись кода. Эти сертификаты можно получить в открытых центрах сертификации или из центра сертификации предприятия в инфраструктуре открытых ключей.

Для подписи RDP-файлов можно использовать тот же SSL-сертификат, который используется для подключения к серверу терминалов через шлюз служб терминалов. Но в случае, если пользователи хотят подключиться к удаленным приложениям с общедоступных или домашних компьютеров, необходимо использовать один из следующих способов подписи:

• 
  подпись с помощью сертификата, который выдан открытым центром сертификации, участвующем в программе корневых сертификатов Microsoft (http://go.microsoft.com/fwlink/?LinkID=59547 );
• 
  подпись с помощью сертификата, который выдан центром сертификации предприятия, но также подписан и открытым центром сертификации, участвующим в программе корневых сертификатов Microsoft.

Для выбора используемого цифрового сертификата необходимо:

1. в панели Actions диспетчера удаленных приложений RemoteApp служб терминалов щелкнуть ссылку Digital Signature Settings (параметры цифровой подписи). Также можно щелкнуть ссылку Change в панели Overview рядом с областью Digital Signature Settings ; 2. установить флажок Sign with a digital certificate (подписать цифровым сертификатом); 3. в поле Digital certificate details (сведения о цифровом сертификате) нажать кнопку Change ; 4. в диалоговом окне Select Certificate (выбор сертификата) выбрать нужный сертификат и нажать кнопку OK . Примечание В диалоговом окне Select Certificate отображаются сертификаты из персонального хранилища сертификатов и из хранилища сертификатов локального компьютера. Используемый сертификат должен находиться в одном из этих хранилищ.

Параметр групповой политики, контролирующий поведение клиента RDP при открытии RDP-файла, подписанного цифровой подписью

С помощью групповой политики можно настроить, чтобы клиент RDP всегда доверял удаленным приложениям RemoteApp от определенных издателей. Также можно настроить, будут ли клиент RDP блокировать доступ к внешним или неизвестным удаленным приложениям RemoteApp и удаленным рабочим столам. Использование этих параметров групповой политики позволят уменьшить количество принимаемых пользователями решений о безопасности. Также это позволяет снизить риск возникновения уязвимостей от неосторожных действий пользователей.

Соответствующие параметры групповой политики доступны в редакторе локальной групповой политики в разделах конфигурации компьютера и пользователя в ветке

Administrative Templates\Windows Components\Terminal Services\Remote Desktop Connection Client (Административные шаблоны\Компоненты Windows\Службы терминалов\Клиент подключения к удаленному рабочему столу).

Для настройки доступны следующие параметры:

• 
  Specify SHA1 thumbprints of certificates representing trusted .rdp publishers (указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP)

Этот параметр групповой политики позволяет указать перечень отпечатков SHA1 сертификатов, которые представляют доверенных издателей RDP. Если включить этот параметр, любой сертификат, у которого отпечаток SHA1 будет совпадать с отпечатком в списке, будет считаться доверенным.

• 
  Allow .rdp files from valid publishers and user’s default .rdp settings (разрешать RDP-файлы от допустимых издателей и пользовательские параметры RDP, заданные по умолчанию)

Этот параметр групповой политики позволяет указать, могут ли пользователи запускать RDP-файлы, подписанные издателем с использованием действительного сертификата. Также от значения этого параметра зависит, могут ли пользователи запускать сеанс RDP с использованием параметров RDP по умолчанию, например при запуске клиента подключения к удаленному рабочему столу без указания RDP-файла.

• 
  Allow .rdp files from unknown publishers (разрешать RDP-Файлы от неизвестных издателей)

Этот параметр групповой политики позволяет указать, смогут ли пользователи запускать на своих компьютерах неподписанные RDP-файлы и RDP-файлы от неизвестных издателей.

Важно!

Для использования этих параметров групповой политики необходимо, чтобы у пользователя был установлен клиент для подключения к удаленному рабочему столу версии 6.1.

Дополнительные сведения об этих параметрах приводятся в тексте описания групповой политики в редакторе локальной групповой политики.

Управление удаленными приложениями RemoteApp и их параметрами

В диспетчере удаленных приложений RemoteApp служб терминалов можно вносить изменения в параметры существующих приложений RemoteApp или удалять их из списка. Также можно экспортировать и импортировать список приложений и глобальных параметров развертывания с других серверов терминалов.

• 
  Добавление и удаление удаленного приложения RemoteApp
• 
  Экспорт и импорт удаленных приложений RemoteApp и их параметров

Добавление и удаление удаленного приложения RemoteApp

После добавления приложения в список удаленных приложений RemoteApp можно изменить параметры развертывания для всех удаленных приложений RemoteApp или для конкретного приложения. Также можно удалить приложение из списка.

• 
  Чтобы изменить параметры развертывания для всех удаленных приложений RemoteApp, необходимо щелкнуть одну из ссылок Terminal Server Settings , TS Gateway Settings или Digital Signature Settings в панели Actions диспетчера удаленных приложений RemoteApp. Также можно щелкнуть соответствующую ссылку Change в панели Overview . Помимо перечисленных выше параметров, в панели Overview можно изменить особые параметры RDP.

Важно!

Изменения параметров не затронут значения параметров в ранее созданных RDP-файлах и пакетах установщика Windows.

• 
  Для изменения свойств отдельного удаленного приложения RemoteApp необходимо выбрать это приложение из списка RemoteApp Programs и в панели Actions щелкнуть ссылку Properties .

Примечание

Свойства созданных ранее RDP-файлов и пакетов установщика Windows нельзя изменить с помощью диспетчера удаленных приложений RemoteApp служб терминалов. Вместо этого необходимо щелкнуть в панели Actions ссылку Create .rdp File (создание RDP-файла)или Create Windows Installer Package (создание пакета установщика Windows) и создать новый RDP-файл или пакет установщика Windows с нужными параметрами.

• 
  Чтобы изменить доступность удаленного приложения RemoteApp через службу веб-доступа к службам терминалов, нужно выбрать это приложение и затем щелкнуть в панели Actions соответствующую ссылку Show in TS Web Access (отобразить через веб-доступ к службам терминалов) или Hide in TS Web Access (скрыть при веб-доступе к службам терминалов).
• 
  Чтобы удалить приложение из списка RemoteApp Programs , необходимо выбрать это приложение и щелкнуть в панели Actions ссылку Remove . Для подтверждения удаления нужно нажать кнопку Yes .

Примечание

При удалении удаленного приложения из списка RemoteApp Programs RDP-файлы и пакеты установщика Windows, созданные ранее для этого приложения, удалены не будут.

Экспорт и импорт удаленных приложений RemoteApp и их параметров

Список RemoteApp Programs и параметры развертывания можно скопировать с одного сервера терминалов на другой. Эта возможность может быть полезна, если необходимо одинаково настроить несколько серверов терминалов для выполнения удаленных приложений RemoteApp, например для создания фермы серверов терминалов.

Чтобы экспортировать список удаленных приложений RemoteApp и параметры развертывания, необходимо:

Export the RemoteApp Programs list and settings to another terminal server (экспорт списка и параметров удаленных приложений RemoteApp на другой сервер терминалов) Terminal server name (имя сервера терминалов) нужно ввести имя сервера терминалов, на который нужно экспортировать параметры, а затем нажать кнопку OK . Чтобы операция экспорта завершилась успешно, необходимо, чтобы с исходного сервера терминалов был доступ к инструментарию управления Windows (WMI) конечного сервера терминалов. Важно! После нажатия кнопки OK список RemoteApp Programs и параметры развертывания на конечном сервере будут автоматически заменены. Export the RemoteApp Programs list and settings to a file ( экспорт списка и параметров удаленных приложений RemoteApp в файл ) OK . В диалоговом окне Save As нужно выбрать расположение сохраняемого TSPUB-файла и нажать кнопку Save (сохранить).

Чтобы импортировать список удаленных приложений RemoteApp и параметры развертывания, необходимо:

1. запустить диспетчер удаленных приложений RemoteApp; 3. в открывшемся диалоговом окне выбрать один из следующих вариантов: Import the RemoteApp Programs list and settings from another terminal server (импорт списка и параметров удаленных приложений RemoteApp с другого сервера терминалов) Если выбрать этот вариант, то в текстовое поле Terminal server name нужно ввести имя сервера терминалов, с которого нужно импортировать параметры, а затем нажать кнопку OK . Параметры импортируются непосредственно в диспетчер удаленных приложений RemoteApp служб терминалов. Чтобы операция импорта завершилась успешно, необходимо, чтобы с исходного сервера терминалов был доступ к инструментарию управления Windows (WMI) конечного сервера терминалов. Import the RemoteApp Programs list and settings from a file ( импорт списка и параметров удаленных приложений RemoteApp из файла ) После выбора этого варианта нужно нажать кнопку OK . В диалоговом окне Open (открыть) нужно найти и выбрать импортируемый TSPUB-файл и нажать кнопку Open .

Если в импортируемой конфигурации есть приложение, которое либо не установлено на конечном сервере, либо установлено в другую папку, то оно все равно будет отображено в списке RemoteApp Programs , но имя приложения будет зачеркнуто.

Примечание

Импортируются и экспортируются только список RemoteApp Programs и параметры развертывания. Любые ранее созданные RDP-файлы и пакеты установщика Windows не экспортируются и не импортируются. Если серверы не являются частью фермы серверов, то на каждом из них нужно создавать новые RDP-файлы и пакеты установщика Windows. Если при создании RDP-файла или пакета установщика Windows было указано имя фермы и сервер, на который нужно скопировать файл является членом этой фермы, файлы можно скопировать вручную.

Приложения RemoteApp представляют собой программы, удалённый доступ к которым предоставляется с помощью служб удалённых рабочих столов, но выглядят они так, будто это локальные приложения. Проще говоря, приложение RemoteApp представляет собой доступ к удалённому рабочему столу, ограниченному одним приложением. Однако, несмотря на формулировку выше, пользователь может запускать несколько приложений или несколько экземпляров одного и того же приложения в одном сеансе.

Использование приложений RemoteApp выглядит хорошей альтернативой традиционным удалённым рабочим столам, поскольку это приносит для системного администратора целый ряд преимуществ. Эти выгоды связанных с тем, что пользователю более не доступен рабочий стол полностью и его действия ограничены границами запускаемого приложения. А как известно, что чем меньше у пользователя возможностей крутить и настраивать, тем надёжнее и безопаснее работает система. Пользователям так же удобно использовать приложения RemoteApp, поскольку они выглядят так же как и любое локально установленное приложение, что значительно упрощает работу.

В этой статье будут рассмотрены следующие моменты:

1. Процесс публикации приложений RemoteApp
2. Проверка работоспособности приложений RemoteApp
3. Изменение параметров опубликованных приложений RemoteApp
4. Отмена публикации приложений RemoteApp

Публикация приложений RemoteApp

Для того, чтобы опубликовать какое-либо приложение RemoteApp нужно открыть Диспетчер задач , перейти в Службы удалённых рабочих столов и там перейти по ссылке с именем коллекции сеансов. В окне коллекции сеансов нажимаем на ссылку Публикация удалённых приложений RemoteApp . В том случае, если уже имеются опубликованные приложения, необходимо нажать на кнопку Задачи и в открывшемся меню выбрать Опубликовать .

Рис.1 — Публикация приложений RemoteApp

Следует помнить, что публикация хотя-бы одного приложения приведет к отмене публикации удалённого рабочего стола. Это означает, что в одной коллекции могут быть либо удалённый рабочий стол полностью либо некий набор отдельных приложений RemoteApp.

Публиковать можно как предустановленные приложения так и свои собственные. Попробуем опубликовать одно предустановленное (Калькулятор) и одно собственное приложение (Foxit Reader). Для того, чтобы опубликовать встроенное приложение необходимо отметить его и нажать кнопку Далее.

Рис.2 — Выбор публикуемых приложений RemoteApp

С приложениями, которых нет в списке несколько сложнее. Тут требуется соблюсти одно важное условие — необходимо чтобы публикуемое приложение размещалось по одному и тому же пути на все серверах узлов сеансов. Если это так, то нажимаем кнопку Добавить и указываем необходимое приложение.

Рис.3 — Указание пути к публикуемому приложению RemoteApp

Как видно на рисунке, указание приложения, в данном случае, происходит на сервере RDSH2.

После того, как все приложения отмечены нажимаем кнопку Далее.

Рис.4 — Выбор публикуемых приложений RemoteApp

В следующем окне подтверждаем свой выбор нажав кнопку Опубликовать.

Рис.5 — Подтверждение выбора приложений RemoteApp

После публикации приложений RemoteApp, будет отображено окно в котором показано состояние приложений и ошибки, возникшие при установке. Если же ошибок не возникло, то нажимаем кнопку Закрыть, для завершения процесса публикации.

Рис.6 — Отчёт о публикации приложений RemoteApp

Проверка публикации программ RemoteApp

После успешной публикации удалённых приложений RemoteApp, проверим корректность их работы. Для этого осуществим веб-доступ к RDS с одной из рабочих станций домена. Напомню, что для того чтобы получить веб-доступ к службам удалённых рабочих столов необходимо перейти по специальной ссылке вида https://servername/rdweb . В рассматриваемом случае, это ссылка https://rdwh.domain.local/rdweb .

Рис.7 — Веб-доступ к приложениям RemoteApp
Рис.8 — Удалённое приложение Foxit Reader

Приложение успешно запустилось и готово к использованию. О том, что это приложение RemoteApp говорит иконка с изображением двух направленных друг к другу стрелок рядом с иконкой основного приложения.

Посмотрим, как отобразилось подключение на серверной стороне. Зайдем в свойства коллекции сеансов и посмотрим на панель Подключения.

Рис.9 — Подключения к коллекции сеансов

На скриншоте выше отображено осуществлённое подключение. Как видим, несмотря на то, что путь к программе Foxit Reader мы указывали на сервере RDSH2, подключение было выполнено к серверу узлов сеансов RDSH1.

Изменение параметров приложений RemoteApp

Каждое приложение RemoteApp имеет ряд ключевых опций, которые можно изменить в соответствии с требованиями. Для того, чтобы зайти в меню настроек приложения достаточно в окне коллекции сеансов (в данном случае в окне Коллекция сеансов RDS) на панели Удалённые приложения RemoteApp вызвать контекстное меню приложения, параметры которого необходимо изменить, и там выбрать единственный пункт Изменить свойства .

Рис.10 — Вызов окна свойств приложения RemoteApp

На вкладке Общие окна свойств приложения доступны следующие настройки:

1. Имя удалённого приложения RemoteApp . Позволяет задать произвольное имя для опубликованного приложения.
2. Показывать удалённое приложение в службе веб-доступа к удалённым рабочим столам. Если выбрать пункт Нет , то приложение не будет отображаться списке приложений на странице веб-доступа и не будет доступно пользователям, хотя будет установлено на серверах узлов сеансов и будет иметь статус опубликованного.
3. Папка удалённого приложения RemoteApp . Этот параметр позволяет упорядочивать приложения RemoteApp, раскладывая их по папкам.

Кроме настроек, в данном окне отображается информация о пути размещения приложения, его псевдониме и иконке.

Рис.11 — Общие параметры приложения RemoteApp

Папку удалённого приложения RemoteApp можно либо задать вручную, написав в соответствующем поле желаемое имя папки, либо выбрав из существующего списка, если папки были созданы ранее. Поместим приложение Foxit Reader в папку Офисные приложения и посмотрим, что произойдет со страницей веб-доступа.

Рис.12 — Использование папок для сортировки приложений RemoteApp

Как видим, выбранное приложение Foxit Reader было успешно помещено в папку Офисные приложения.

На вкладке Параметры можно задать параметры командной строки для приложения. Именно здесь можно разрешить использовать любые параметры командной строки или вообще запретить их использование. Помимо этого можно задать принудительное использование заранее заданных параметров. В целом ряде случаев, последний параметр очень выручает.

Рис.13 — Параметры командной строки приложения

Свойства вкладки Назначение пользователей позволяют настроить видимость приложения в системе веб-доступа для заданных пользователей или групп пользователей. Поскольку по умолчанию все пользователи коллекции сеансов имеют доступ ко всем опубликованным в ней приложениям, данная вкладка позволяет гибко настроить доступ пользователей к приложениям RemoteApp внутри самой коллекции.

Рис.14 — Назначение пользователей приложения

На вкладке Сопоставление типов файлов можно задать типы файлов, которые автоматически будут открываться с помощью выбранного приложения RemoteApp.

Следует помнить об одном очень важном ограничении - данная опция не работает в случае веб-доступа к приложениям.

Отмена публикации приложений RemoteApp

В случае, когда удалённое приложение больше не используется, целесообразно отменить его публикацию. Рассмотрим выполнение этой операции на примере приложения Калькулятор.

Для того, чтобы вызвать мастер отмены публикации удалённых приложений RemoteApp нужно выбрать пункт Отменить публикацию удалённых приложений RemoteApp в меню Задачи на панели Удалённые приложения RemoteApp .

Рис.15 — Вызов мастера отмены публикации приложения

На первом шаге мастера выбираем из списка опубликованных приложений RemoteApp приложение, публикацию которого необходимо отменить. Можно выбрать все приложения и в таком случае после отмены их публикации станет возможен доступ к удалённому рабочему столу полностью.

Рис.16 — Выбор приложения, публикация которого отменяется

В окне с подтверждением выбора предлагается проверить правильность выбранных приложений и нажать кнопку Отменить публикацию .

Рис.17 — Подтверждение выбора

После успешного выполнения операции отмены публикации отобразится окно, сообщающее об этом.

Рис.18 — Успешная отмена публикации приложения RemoteApp

***

Как видим, процессы добавления, удаления и настройки удалённых приложений RemoteApp довольно быстро и удобно осуществляются из единой панели Удалённые приложения RemoteApp на вкладке коллекции сеансов.

Не все знают, что в дополнение к службе удаленных рабочих столов, вWindows Server 2008 R2 есть очень удобная служба удаленных приложений RemoteApp . Суть RemoteApp в том, что к любым приложениям, установленным на данном сервере, можно получить удаленный доступ с любого компьютера подключенного к сети. В этом случае, выполняться программа будет на сервере, но её окно будет прорисовываться так, если бы пользователь запустил программу с локального компьютера. Возможно сворачивать и разворачивать окно программы запущенной через RemoteApp, изменять его размеры и запускать сразу несколько программ вместе со своими локальными приложениями. Это очень удобный механизм, который может существенно облегчить администрирование некоторых программ и сократить расходы на их покупку.

Ниже я расскажу как настроить Удаленные приложения RemoteApp в Windows Server 2008 R2 на примере программы 1с:Предприятие 7.7.

1. Что понадобится


2. Создание RDP-файла или установщика для удаленной программы


3. Настройка пользователей

1. Что понадобится

1. Компьютер с Windows Server 2008 R2 (об установке можно прочитать )


2. Запущенный сервер терминалов на данном компьютере (об установке сервера терминалов читайте )


3. Также, на этом компьютере должно быть установлено и настроено приложение, которое мы будем добавлять в RemoteApp, в моем случае это 1С:Предприятие 7.7 (об особенностях установки 1С:Предприятие 7.7 я писал )

2. Создание RDP-файла или установщика для удаленной программы

Запускаем «Диспетчер удаленных приложений RemoteApp » («Пуск » — «Администрирование » — «») и в меню «Действия » слева нажимаем на «Добавить удаленные приложения RemoteApp » .

После чего данная программа появится в списке удаленных приложений RemoteApp. Выделив его в таблице нажимаем на «Создать RDP-файл » в меню слева.

Запустится «Мастер удаленных приложений RemoteApp » , нажимаем «Далее » и попадаем на окно «Задание параметров пакета » . Здесь можно выбрать каталог, куда сохранится RDP-файл, задать параметры шлюза удаленных рабочих столов, а также параметры сертификата для защищенных соединений. Но главное, можно поменять имя сервера и порт. Изначально выставлены имя компьютера и порт RDP по умолчанию. С такими настройками приложение будет доступно только из локальной сети. Если необходимо, чтобы программа запускалась и со всех компьютеров, подключенных к сети Интернет, то имя сервера нужно заменить на внешний IP-адрес, а также, по необходимости, изменить порт, который проброшен на маршрутизаторе для данного сервера, как показано на скриншоте ниже.

Порт также следует поменять, если вы меняли порт по умолчанию для сервера терминалов (о том как это сделать, можно прочитать ). Завершаем работу мастера нажав «Далее » и «Готово » , после чего в указанном каталоге найдем файл с расширением rdp .
Аналогичным образом можно создать msi-установщик, нажав на «Создать пакет установщика Windows » . При запуске получившегося таким образом установщика, он будет создавать RDP-ярлык на рабочем столе и в меню пуск с иконкой выбранного приложения.
Теперь, если запустить получившийся RDP-файл с другого компьютера в сети, то появится окно ввода логина/пароля для входа на сервер.

После ввода данных увидим окно 1С:Предприятие так, как будто мы запустили его с локальной машины.

3. Настройка пользователей

Если приложение будут запускать несколько пользователей с одинаковыми настройками, то необязательно добавлять каждого на сервер. Достаточно создать только одного пользователя, скажем User_1C (о том как создать пользователя можно прочитать ), настроить все параметры (список баз, принтеры пр.) для этого пользователя и разрешить множественные сеансы.

Для того чтобы разрешить множественные сеансы заходим в «Пуск » — «Администрирование » — «Службы удаленных рабочих столов » — «Конфигурация узла сеансов удаленных рабочих столов » кликаем 2 раза по «Ограничить пользователя единственным сеансом » , в окне свойств снимаем галочку «Ограничить всех пользователей одиночными сеансами » .

Значение должно поменяться на «Нет » .

Кроме этого, надо знать еще об одном нюансе. Дело в том, что при закрытии приложения, запущенного через RemoteApp, пользователь не выгружается автоматически, а отключенная учетная запись так и продолжает «висеть» на сервере. Чтобы изменить это, в свойствах пользователей, которые будут запускать приложения через RemoteApp, на вкладке «Сеансы » устанавливаем «Завершение отключенного сеанса » через 1 минуту.

На этом настройка закончена. Мы выполнили ее таким образом, что несколько человек одновременно могут работать с программой 1С:Предприятие 7.7 под одной учетной записью (для удобства работы можно создать несколько учетных записей, например, User_1c_Buh ,User_1C_Operator , User_1C_Sklad и т. д. или же отдельную учетную запись для каждого пользователя).