Remote Desktop Services — Настраиваем пользовательский интерфейс на серверах RD Session Host
Серверы сеансов Remote Desktop Services (RDS) — это многопользовательские среды, для которых, как правило, требуется максимально жёсткая настройка пользовательского окружения. Говоря простым языком, – чем у пользователей меньше отвлекающих «буцок», не имеющих прямого отношения к выполняемым ими задачам, – тем лучше и для администратора, и для них самих в конечном итоге. Здесь мы рассмотрим пример настройки некоторых элементов пользовательского интерфейса по следующим позициям:
— Отключаем отображение Favorites, Libraries и Network
— Скрываем излишние папки в профиле пользователя
— Отключаем мастер добавления сетевых расположений
— Скрываем локальные диски сервера
— Сворачиваем ленту при запуске Windows Explorer
— Включаем отображение расширений файлов
— Ограничиваем набор апплетов в Панели управления
— Настраиваем панель задач (TaskBar)
— Заменяем картинку пользователя по умолчанию
— Настраиваем стартовый экран Windows
— Создаём групповую политику переопределений для администраторов
Отключаем отображение Favorites, Libraries и Network
Для того чтобы скрыть элементы Favorites, Libraries и Network из панели навигации Windows Explorer нужно изменить значения соответствующих трёх параметров системного реестра.
Отключить отображение Favorites:
HKEY_CLASSES_ROOT\CLSID\<323CA680-C24D-4099-B94D-446DD2D7249E>\ShellFolder
Поменять значение параметра Attributes с a0900100 на a9400100
Отключить отображение Libraries:
HKEY_CLASSES_ROOT\CLSID\<031E4825-7B94-4dc3-B131-E946B44C8DD5>\ShellFolder
Поменять значение параметра Attributes с b080010d на b090010d
Отключить отображение Network:
HKEY_CLASSES_ROOT\CLSID\
Поменять значение параметра Attributes с b0040064 на b0940064
Выполнить изменения этих параметров можно например с помощью Group Policy Preferences (GPP), создав в групповой политике применяемой к серверам RDS соответствующие настройки GPP в разделе
Computer Configuration\Preferences\Windows Settings\Registry
При желании можно для применения данного ключа реестра настроить Item-level targeting (ITL) на семейство ОС – Windows Server 2012 Family. Проблема с применением перечисленных параметров реестра заключается в лишь том, что по умолчанию к родительским ключам этих параметров для пользователя SYSTEM предоставлен доступ только на чтение, и без добавления права на редактирование наши параметры GPP применены не будут.
Учитывая то, что владельцем этих ключей является SYSTEM, нам потребуется от имени этого пользователя запустить редактор реестра и добавить права на редактирование. Запустить редактор реестра от имени системы (SYSTEM) можно, например, с помощью утилиты PsExec.exe из состава Sysinternals PsTools командой
Скрываем излишние папки в профиле пользователя
По умолчанию в паке пользователя отображается ряд папок которые на серверах RDS в жёстко ограничиваемом пользовательском пространстве можно считать избыточными и нам желательно сократить их количество до необходимого минимума. Для достижения этой цели можно пойти разными путями:
— Изменить атрибуты папок (или удалить эти папки вообще) в профиле по умолчанию который используется системой при создании новых профилей C:\Users\Default\
— Изменять атрибуты этих папок в уже созданных профилях при каждом входе пользователя в систему или же удалять эти папки в уже существующих профилях.
Первый путь мы не будем рассматривать, так как он не эффективен с точки зрения того, что затрагивает только вновь создаваемые профили, но не модифицирует уже существующие. Второй путь возможен в разных вариациях (выбирайте на вкус):
А) Вариант с использованием логон-скрипта обрабатываемого системой при входе пользователя, в котором для всех нужных папок добавлены конструкции типа:
Такая конструкция добавит атрибуты “Скрытый” и “Системный” к указанной папке. Добавление атрибута “Системный” позволит нам спрятать указанные папки действительно во всех диалоговых окнах Windows Explorer, чего нельзя добиться при использовании только атрибута “Скрытый”.
Информацию о том, как при необходимости добавить собственный логон-скрипт на сервер RDS можно найти в заметке Windows Server 2008 R2 – Добавление скриптов входа на сервере RDS через ключ реестра AppSetup
Б) Вариант удаления нежелательных папок в уже существующих профилях. Можно воспользоваться логон-скриптами в случае если нужна сложная логика проверки наличия в этих папках какого-либо пользовательского контента. Если же точно известно, что в профилях пользователей в этих папках ничего нет, то можно использовать для жёсткого удаления этих папок механизмы GPP в разделе
User Configuration\Preferences\Windows Settings\Folders
При создании настройки GPP для операции удаления файлов/папок в пользовательском профиле обязательно включать параметр выполнения задачи в контексте пользователя – Run in logged-on user’s security context (user policy option) на закладке Common
Для удаляемых GPP папок также нужно не забыть отключить для этих папок механизм их перенаправления (Folder Redirection), в противном случае при каждом входе пользователя в систему будет идти противоборство механизмов перенаправления папок и удаления этих же папок через GPP, то есть сначала папки будут создаваться а потом тут же удаляться.
B) Третий вариант, самый приемлемый на мой взгляд. Параллельно использованию механизма перенаправления папок с помощью GPP запускать скрипт установки атрибутов “Скрытый” и “Системный” для нужных папок пользователя, то есть и папки останутся целыми и от пользователя мы их скроем. Для этого создадим параметр GPP в разделе User Configuration\Preferences\Windows Settings\Registry — строковой параметр реестра REG_SZ с любым именем, например HideUserProfileFolders в ключе HKCU\Software\Microsoft\Windows\CurrentVersion\Run и значением \\FileServer\RDS_UserSettings\Hide-User-Profile-Folders.vbs
Таким образом мы пропишем в автозагрузку пользовательской среды запуск скрипта, расположенного на общедоступном сетевом ресурсе. В теле скрипта будем выполнять проверку на наличие атрибутов “Скрытый” и “Системный” на нужных нам папках и если атрибут не установлен – будем его устанавливать. Пример такого скрипта:
Дополнительно найти примеры манипуляций с каталогами из VBS можно найти по ссылке ActiveXperts.com — Scripts to manage Folders .
Обратите внимание на то, что в теле скрипта используется переменная окружения %RDS_RFOLDERS% . Так как речь идёт о том, что папки пользователя над атрибутами которых мы собираемся провести изменения, являются перенаправленными (Folder Redirection), то к ним нельзя обратиться просто используя переменную %USERPROFILE% . Вместо этого нужно указать путь к фактическому размещению сетевого каталога для перенаправляемых папок пользователя, и для того чтобы указать этот каталог можно использовать дополнительную переменную в теле самого скрипта, а можно опять-же с помощью GPP создать пользовательскую переменную окружения куда и записать это значение. После этого созданную переменную можно будет использовать как в этом, так и в других скриптах настройки пользовательской среды. Итак, для создания дополнительной пользовательской переменной, создадим параметр GPP в разделе User Configuration\Preferences\Windows Settings\Environment
После применения созданных нами параметров GPP и отработки скрипта при входе пользователя в уже созданный профиль (то есть это не применимо для первого входа в систему с созданием нового профиля), мы получим следующий результат:
Отключаем мастер добавления сетевых расположений
Так как все сетевые ресурсы мы настраиваем в пользовательском окружении централизованно, возможно мы захотим скрыть от пользователя возможность подключения/отключения сетевых дисков, а также запретить вызов мастера добавления сетевых расположений
Для этого достаточно настроить предопределённый параметр GPO
Remove «Map Network Drive» and «Disconnect Network Drive»
в разделах
User Configuration\Policies\Administrative Templates\Windows Components\File Explorer
Computer Configuration\Policies\Administrative Templates\Windows Components\File Explorer
Скрываем локальные диски сервера
Для того чтобы скрыть от пользователей все локальные диски сервера, оставив возможность видеть в Windows Explorer лишь свои перенаправленные диски включим и настроим параметр GPO
Hide these specified drives in My Computer = Restrict all drives
в разделе
User Configuration\Policies\Administrative Templates\Windows Components\File Explorer
В результате применения этой политики мы получим примерно следующий вид:
Сворачиваем ленту при запуске Windows Explorer
Ещё один предопределённый параметр GPO позволит нам настроить запуск новых окон Windows Explorer со свёрнутой лентой (верхней панелью кнопок).
Start File Explorer with ribbon minimized
установим в значение Always open new File Explorer windows with the ribbon minimized
в разделах
User Configuration\Policies\Administrative Templates\Windows Components\File Explorer
Computer Configuration\Policies\Administrative Templates\Windows Components\File Explorer
Несмотря на то что этот же параметр GPO есть в User Configuration , он по какой-то причине подавляется существующим параметром реестра ExplorerRibbonStartsMinimized в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer
и это происходит даже не смотря на то, что данная политика в Computer Configuration не настроена. Такое поведение лечится лишь явным отключением этой политики в Computer Configuration , и поэтому особого смысла в этой политике на уровне User Configuration я не вижу и использую её на уровне Computer Configuration
Включаем отображение расширений файлов
Отключаем включенную по умолчанию опцию сокрытия расширений для зарегистрированных типов файлов (Hide extension for known file types). 
Для этого создадим параметр GPP в разделе
User Configuration\Preferences\Windows Settings\Registry — параметр реестра REG_DWORD с именем HideFileExt и значением 0 в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
с типом действия Update
Ограничиваем набор апплетов в Панели управления
В панели управления скроем все апплеты кроме тех, которые реально могут понадобиться пользователям с помощью предопределённого параметра GPO
Show only specified Control Panel items в разделе
User Configuration\Policies\Administrative Templates\Control Panel
В таблице настройки отображаемых значений на всякий случай введём русский и английский вариант имён апплетов Панели управления:
Свойства браузера
Язык
Региональные стандарты
Устройства и принтеры
Internet Options
Language
Region
Devices and Printers
Дополнительно через GPP задаем вид элементов Control Panel в виде маленьких значков через Update двух параметров реестра в ключе:
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel
AllItemsIconView REG_DWORD = 1
StartupPage REG_DWORD = 1
В результате применения созданных параметров GPO в пользовательском окружении получим следующий вид Панели управления:
Настраиваем панель задач (TaskBar)
Общая методика следующая – сначала настраиваем в текущем профиле пользователя панель задач так, как она должна выглядеть у всех других пользователей, после этого, с помощью механизмов GPP, передаём параметры реестра, отвечающие за хранение настроек TaskBar из текущего профиля в другие.
Итак, сначала мы должны “запилить” TaskBar в текущем профиле до желаемого вида.
Создаём на рабочем столе ярлыки, ссылающиеся на исполняемые файлы. При желании меняем иконки для ярлыков, добавляем в свойства ярлыка Комментарий который будут видеть пользователи при наведении курсора на этот ярлык и т.д. Если необходимо сделать ярлык на какой либо каталог (локальный или сетевой), то ярлык делаем для исполняемого файла C:\Windows\explorer.exe и через пробел добавляем имя каталога который должен открываться этим ярлыком.
Если есть сильное желание создать на панели задач отдельную кнопку свёртывания/развертывания всех окон (не все пользователи знают о самой правой узкой кнопке на панели задач в W8/W2012, которая отвечает за свёртывание/развертывание), то можно использовать следующий шаманский метод..
1. Создаём пустой файл с каким-нибудь диким именем, например nullprogram.exe
2. Делаем ярлык на этот файл, устанавливаем ярлыку имя которое мы хотим получить в результате например » Свернуть все окна.lnk «. В свойствах ярлыка меняем значок на нужный из %windir%\system32\imageres.dll
3. Закрепляем ярлык на панели задач и удаляем с рабочего стола
4. Копируем ярлык C:\Users\имя пользователя\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk в каталог C:\Users\имя пользователя\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar и сразу переименовываем этот ярлык в » Свернуть все окна.lnk » (таким образом наш фейковый ярлык будет заменён на правильный)
5. Выполняем Logoff/Logon и проверяем как работает наша кнопка на панели задач.
Есть информация, что аналогично можно проделать и с ярлыком Window Switcher.lnk , но я сам этого не проверял.
Теперь мысли по поводу запуска стартового экрана из панели задач. Ряд пользователей жалуются на то, что им не нравится вызывать стартовый экран с помощью функции активных углов, которая в RDP сессии ведёт себя не всегда вменяемо. А кнопка на панели задач вызывающая этот самый стартовый экран обещана только в следующей версии ОС. Поэтому пришлось немного нагрузить нашего программиста, чтобы он слепил нечто подобное. В итоге мы получили маленький исполняемый файл, который фактически эмулирует нажатие кнопки Windows в результате чего вызывается стартовый экран. Загрузить программу можно со страницы на CodePlex . Скопируем файл Start.exe например в каталог %windir% на все наши сервера RDS и на панели задач закрепим ярлык на него.
После того как панель задач настроена нужным образом, копируем в отдельную сетевую папку, доступную на чтение всем пользователям, иконки из профиля пользователя под которым выполняли настройку панели задач из папки
%AppData%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
Создаем GPP на основе всех параметров реестра в ключе
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband
Сразу все настроенные параметры реестра оптом легко могут быть вставлены в редактор GPP с помощью мастера импорта реестра — Registry Wizard
Итого по данной задаче в параметрах GPP в разделе
User Configuration\Preferences\Windows Settings\Registry
мы создадим группу параметров где сначала удаляем ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband и все вложенные в него параметры, а затем заново создаём этот ключ и устанавливаем предопределённо настроенные параметры
Ну и соответственно в параметрах GPP в разделе
User Configuration\Preferences\Windows Settings\Files
сначала удаляем все ярлыки из профиля пользователя затем копируем нужные из сетевой папки.
1. Удаление всех файлов *.lnk из профиля пользователя из папки
%AppData%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
2. Копирование из шары всех файлов *.lnk в профиль пользователя в папку
%AppData%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
Далее, через пользовательские групповые политики выключим отображение иконок в системном трее.
User Configuration\Policies\Administrative Templates\Start Menu and Taskbar
В конфигурации по умолчанию для панели задач включен самый жесткий режим группировки информации об открытых окнах – Always combine, hide labels
Можно задать единую для всех пользователей настройку группировки в другом варианте, например когда группировка происходит только в том случае, если панель задач заполнена – Combine then taskbar is full. За эту настройку отвечает параметр реестра TaskbarGlomLevel в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Создадим в параметрах GPP в разделе
User Configuration\Preferences\Windows Settings\Registry
соответствующий параметр реестра
В итоге мы должны получить примерно следующий вид панели задач
Заменяем картинку пользователя по умолчанию
По умолчанию в Windows Server 2012 в качестве картинки пользователя установлено изображение «яйцеголового анонимуса».
Если есть желание как-то изменить эту картинку, например придать ей корпоративный стиль, то для этого нужно заменить 6 файлов расположенных сервере в каталоге
%ProgramData%\Microsoft\User Account Pictures\
предварительно создав их в следующем формате:
| Имя файла | Тип файла | Размер (пикселей) |
| guest | bmp | 448 * 448 |
| guest | png | 448 * 448 |
| user | bmp | 448 * 448 |
| user | png | 448 * 448 |
| user-200 | png | 200 * 200 |
| user-40 | png | 40 * 40 |
Также можно включить групповую политику
Apply the default account picture to all users в разделе
Computer Configuration\Administrative Templates\Control Panel\User Accounts
после чего заменённые нами изображения будут отображаться для всех вошедших в систему пользователей
Настраиваем стартовый экран Windows
Входим в систему под любым пользователем и настраиваем стартовый экран (или как его ещё называют Modern UI Start) в том виде, в котором мы хотим его представить всем пользователям без возможности последующей модификации.
Все сделанные настройки стартового экрана сохраняются в бинарном файле appsFolder.itemdata-ms расположенном в профиле пользователя в каталоге
%USERPROFILE%\AppData\Local\Microsoft\Windows
на том сервере, где выполнялась модификация. То есть, как вы поняли, этот файл не попадает в состав перемещаемого профиля и именно поэтому нужно его брать с того сервера, на котором выполнялась настройка (из локальной копии профиля пользователя). Разместим файл в общедоступной сетевой папке, из которой он будет копироваться в профиль пользователя при его входе на сервера RDS. Установим для этого файла атрибут “Только чтение”.
Создадим в параметрах GPP в разделе
User Configuration\Preferences\Windows Settings\Files
настройку, которая будет при входе пользователя в систему переписывать этот файл appsFolder.itemdata-ms . Дополнительно можно включить форсированную установку атрибута “Только чтение”
Пример заполнения полей параметра GPP:
Source file: \server\MetroStart\appsFolder.itemdata-ms
Destination File: %USERPROFILE%\AppData\Local\Microsoft\Windows\appsFolder.itemdata-ms
В результате применения такой политики мы получим одинаковый стартовый экран у всех пользователей с фактическим запретом на его редактирование.
При закреплении ярлыков в стартовом экране, который планируется использовать для всех пользователей есть один неприятный момент, который мне так и не удалось победить. Он заключается в том, что если закреплять ярлыки на полноценно установленные в системе приложения или какие-то системные объекты типа «Панель управления», то они без вопросов будут отображаться у всех пользователей, но вот если закрепить ярлыки на какие-то отдельно взятые папки (локальные или сетевые) или на какие-то исполняемые файлы, незарегистрированные в системе через механизм установки программ (локальные или сетевые), то такие ярлыки у других пользователей отображаться не будут. По этому поводу открыл ветку обсуждения на форуме Technet , но к сожалению решения для W8/WS2012 пока нет. Есть лишь информация о том, что в W8.1/WS2012 R2 ситуация с централизованной настройкой стартового экрана измениться к лучшему и будет решаться связкой инструментария GPO и PowerShell.
Создаём групповую политику переопределений для администраторов
Помимо рядовых пользователей на сервера RDS работают и администраторы, которым созданные ограничения могу мешать в работе. Для того, чтобы разрешить эту ситуацию, создадим отдельную групповую политику переопределний для администраторов. В ней можно, например, разрешить доступ ко всем элементам панели управления и обзор всех дисков. То есть параметры GPO включенные и настроенные в общей пользовательской политике могут быть выключены или переопределены в политике для администраторов. Чтобы GPO для администраторов могли переопределять пользовательские GPO, нужно правильно настроить порядок применения этих политик.
Применение политики переопределений для администраторов надо ограничить доменной группой безопасности, в которую буду включены учетные запись этих администраторов и убрать назначенную по умолчанию группу Authenticated Users
В результате рядовые пользователи будут на наших серверах RDS будут иметь усиленные настройки, а администраторы ослабленные.
