您如何通過 Windows Server 2008 R2 中的 RD 會話主機限制應用程序訪問？

我正在使用 RDS 設置新伺服器。我想使用組或使用者控制對我為 RDS 主機安裝的應用程序的訪問。這可能嗎？如何？

假設我有一組使用者將使用的一組 5 個應用程序。一些使用者可以訪問應用程序 A，其他使用者可以訪問應用程序 B，其他使用者可以訪問應用程序 C。所有這些都可能重疊。

我想我會創建 5 個組：

• 應用 A 組
• 應用 B 組
• 等等。

然後將每個使用者分配到他有權訪問的應用程序組。這是可行的嗎？這是正確的方法，還是這種類型的配置有其他一些最佳實踐？

謝謝。

使用 AppLocker。它允許您定義誰可以執行哪個執行檔（按名稱、文件夾、雜湊或數字簽名），而所有其他人都將被拒絕。確保您允許預設的執行檔，嚮導將引導您完成。

有幾種方法可以做到這一點：

1. 如果您的 RDS 主機是 W2K8R2 並且您想要使用 RD Web 訪問，那麼您可以通過在 RemoteApp 管理器中配置和保護應用程序來限制每個組可以通過 RD Web 訪問查看、訪問和執行的應用程序。
2. 如果您的 RDS 主機是 W2K8R2，您可以通過 RemoteApp 管理器為每個應用程序部署 RDP 文件，並通過在 RemoteApp 管理器中配置和保護應用程序來限制每個組可以執行的應用程序。
3. 如果您的 RDS 主機是 W2K8 或 W2K8R2 您可以通過為每個組創建 GPO 並為每個組配置適當的軟體限制策略並使用安全篩選將 GPO 應用到適當的組來使用組策略中的軟體限制策略。

請注意，在 W2K8 中，您可以使用 RD Web 訪問和 RemoteApp 管理器使應用程序對您的使用者可用，但您不能限制這些應用程序。在 RemoteApp Manager 中分配（保護）應用程序的功能僅在 W2K8R2 中可用。

引用自：https://serverfault.com/questions/433740