С помощью групповых политик вы можете создать ярлык на определенное приложение, сайт или сетевую папку на рабочем столе всех (или только определенных) пользователей домена. В этой статье, мы покажем, как создавать ярлыки на рабочих столах пользователей с помощью предпочтений GPO (Group Policy Preferences, GPP).
Предпочтения групповых политик позволяют создать ярлык на локально установленное приложение, исполняемый файл приложения в сетевой папке (по UNC пути), URL адрес или элемент панели управления.
Создать ярлык рабочего стола для всех пользователей с помощью GPO
Предположим, ваша задача – создать на рабочем столе всех пользователей домена ярлык, ссылающийся на исполняемый файл приложения, которое хранится в сетевой папке (подразумевается некое portable приложение, работающее без установки).
В нашем примере UNC путь к исполняемому файлу приложения выглядит так
\\s-dc01\APPS\TCPView\tcpview.exe
. Проверьте, что в разрешениях сетевой папки дан как минимум
Read+Execute
доступ для Authenticated Users или Users.
- Откройте консоль управления Group Policy Management Console (gpmc.msc), щелкните ПКМ по контейнеру AD, к которому нужно применить политику создания ярлыка, и создайте новую политику (объект GPO) с именем CreateShortcut;
- Чтобы настроить политику, щелкните по ней и выберите Edit;
- Перейдите в раздел предпочтений групповых политик (Group Policy Preferences) User Configuration –> Preferences -> Windows Settings -> Shortcuts. Выберите New -> Shortcut;
- Создайте новый ярлык со следующими настройками:
Name:
TCPView
(имя ярлыка)Target Type:
File System Object
(здесь также можно выбрать URL адрес или объект Shell)Location:
Desktop
(поместить ярлык на рабочий стол текущего пользователя)
Здесь можно указать одно из 15 встроенных расположений для ярлыка. Например, меню Пуск (Start Menu), автозагрузку (Startup), рабочий стол всех пользователей компьютера (All Users Desktops).Target Path:
\\s-dc01\APPS\TCPView\tcpview.exe
(путь к файлу, на который нужно создать ярлык)Arguments: можно указать дополнительные аргументы для запуска программы (если требуется) Icon file path: здесь указывается путь к иконке ярлыка. Можно воспользоваться кастомным ICO файлом, или стандартной библиотекой с типовыми иконками Windows (
%SystemRoot%\System32\SHELL32.dll
). Если в файле доступно несколько иконок, номер иконки в dll нужно указать в поле Icon Index.
В пути к программе можно использовать различные переменные окружения. Например
%WindowsDir%\notepad.exe
,
%ProgramFilesDir%\app\app.exe
,
%ProgramFiles(x86)%\app.exe
. Полный список доступных переменных окружения, которые можно использовать в пути можно вывести, нажав F3 в окне настройки ярлыка в GPP.
- Если вы выбрали, что ярлык нужно поместить на рабочий стол текущего пользователя, на вкладке “Common” нужно включить опцию Run in logged-on user’s security context (user policy option);
- Если нужно создать ярлык программы в Public профиле (для всех пользователей компьютера), выберите опцию Location =
All User Desktop
(опцию “Run in logged-on user’s security context” нужно отключить, т.к. у обычных пользователей нет прав для модификации Public профиля); - Сохраните изменения. Обратите внимание, что в консоли GPO отображается переменные окружения для Desktop (
%DesktopDir%
) и
%CommonDesktopDir%
для All User Desktop (переменная
%CommonDesktopDir%
считается deprecated и вместо нее лучше использовать формат
%Public%\Desktop
).
- Если вы в настройках политики указываете сетевой UNC путь к файлу с иконкой ярлыка (
*.ico
), дополнительно нужно включить параметр GPO Allow the use of remote paths in file shortcut icons в Computer Configuration -> Administrative Templates -> Windows Components -> File Explorer. Без этой политики ярлык иконки не будет отображаться (вы увидите только иконку в виде простого белого листа).
- Обновите настройки политик на клиентах (gpupdate /force или выполните логофф/логон).
Если вы назначили GPO на Organizational Unit с компьютерами (не пользователями), нужно дополнительно включить опцию замыкания GPO. Установите Configure user Group Policy loopback processing mode = Merge в секции Computer Configuration -> Policies -> Administrative Templates -> System -> Group Policy;
- После обновления политик на рабочем столе пользователя должен появится новый ярлык.
Если ярлык не появился, проверьте логи групповых политик в консоли Event Viewer. Перейдите в журнал Applications и отфильтруйте его по источнику Group Policy Shortcuts.
В моем случае, из ошибки понятно, что ярлык не был создан, потому что указан неверный путь к исходному файлу:
The user 'TCPView' preference item in the 'gpoCreateAppShortcuts {272F01C7-AEA6-4684-A488-15D93B0D65F9}' Group Policy Object did not apply because it failed with error code '0x80070002 The system cannot find the file specified.' This error was suppressed.
GPO: Создать ярлык только для опредленных пользователей
Если вы хотите, чтобы политика создавала ярлыки только на рабочих столах определенных пользователей, нужно воспользоваться Item-Level Targeting в GPP.
- Создайте в домене группу безопасности, в которую добавьте всех пользователей, к которым должна применяться политика создания ярлыков.
- Откройте свойства ярлыка в консоли редактора групповых политик, передите на вкладку Common, включите опцию “Item-level targeting”, нажмите кнопку “Targeting”.
- Выберите New Item -> Security Group и выберите доменную группу пользователей. В результате ярлык будет появляться только у пользователей, добавленных в указанную группу безопасности Active Directory;
-
В одной GPO можно создать несколько правил создания ярлыков для разных групп пользователей, компьютеров или OU (см. скриншот).
- Ярлык на сетевую папку (можно использовать вместо подключемых через GPO сетевых дисков)
- Ярлык на RDP файл подключения к RDS серверу
- Ярлык на команду LogOff, для быстрого завершения сессии пользователем (
logoff.exe
или shutdown.exe с аргументом /l)
Для установки и настройки роли RemoteApp, имеем подготовленный сервер с операционной системой Windows Server 2019, на котором будем производить нижеописанные действия.
Установка служб Удаленных рабочих столов
На первом этапе установим службы Удаленных рабочих столов, для этого в окне Диспетчер серверов выбираем Добавить роли и компоненты.
Обращаем внимание перед установкой роли на предупреждение → далее.
Устанавливаем чекбокс Установка служб удаленных рабочих столов → далее.
Устанавливаем чекбокс Cтандартное развертывание → далее.
Устанавливаем чекбокс Развертывание рабочих столов на основе сеансов → далее.
Выбираем сервер, на который будут установлены службы роли посредника → далее.
Устанавливаем чекбокс Установить службы роли веб-доступа к удаленным рабочим столам на сервере посредника подключений к удаленному рабочему столу → далее.
Выбираем сервер, на который будут установлены службы роли узлов сеансов удаленных рабочих столов → далее.
Устанавливаем чекбокс Автоматически перезапускать конечный сервер, если это потребуется → развернуть.
Закрываем установку после завершения и перезагружаем сервер.
Рисунок 1 — Завершение установки
Бесплатный сервер 1С для подписчиков нашего telegram-канала !
Создание коллекции сеансов
Заходим в диспетчер серверов → Службы удаленных рабочих столов → Создание коллекции сеансов.
Нажимаем далее → Указываем имя коллекции → Выбираем наш сервер → Выбираем группу пользователей для доступа к коллекции → Снимаем чекбокс с включить диски профилей пользователей → Нажимаем создать → закрыть.
Выбираем нашу коллекцию и нажимаем публикация удаленных приложений RemoteApp.
Выбираем из списка приложения, которые необходимо опубликовать, нажимаем далее → опубликовать → закрыть.
Проверка публикации RemoteApp
Переходим в браузере по адресу https://localhost/rdweb и выбираем приложение.
После сохранения файла RDP, можем заходить в него под пользователем.
Рисунок 2 — Выбор опубликованного приложения
Рисунок 3 — Проверка работоспособности RemoteApp
Нужна помощь? Наша компания может оказать помощь в реализации ИТ-задач, для этого напишите в чат. Также мы предоставляем готовый сервер с RemoteApp-приложениями, например, с различными конфигурациями 1С.
Если нужно создать удаленное подключение для нескольких пользователей, то сперва необходимо настроить терминальный сервер на Windows Server. Он позволит предоставлять ровно такое количество мощностей, которое требуется для решения конкретной задачи – например, для работы с 1С или CRM.
Настройка в версиях Windows Server 2012, 2016, 2019 выполняется по одному алгоритму.
Базовая настройка терминального сервера
Сначала проверим имя рабочей группы и описание компьютера.
- Открываем «Панель управления», переходим в раздел «Система».
- Нажимаем «Изменить параметры».
- На вкладке «Имя компьютера» смотрим, как он идентифицируется в сети. Если имя компьютера или рабочей группы слишком сложное, нажимаем «Изменить» и задаем другие идентификаторы. Для применения нужно перезагрузить систему.
После проверки имени смотрим и при необходимости меняем сетевые настройки. В «Панели управления» открываем раздел «Сетевые подключения».
Переходим в свойства используемого подключения, открываем свойства «IP версии 4». Указываем настройки своей сети. IP, маска и шлюз должны быть статичными.
Комьюнити теперь в Телеграм
Подпишитесь и будьте в курсе последних IT-новостей
Подписаться
Добавление ролей и компонентов
Открываем меню «Пуск» и запускаем «Диспетчер серверов». Далее:
- Нажимаем «Добавить роли и компоненты».
- Выбираем пункт «Установка ролей или компонентов».
- Выбираем сервер из пула серверов.
- В разделе «Роли сервера» отмечаем DHCP-сервер, DNS-сервер, доменные службы Active Directory, службы удаленных рабочих столов.
- В разделе «Службы ролей» отмечаем лицензирование удаленных рабочих столов, узел сеансов удаленных рабочих столов и шлюз удаленных рабочих столов.
- Нажимаем «Далее» до раздела «Подтверждение». Здесь нажимаем «Установить».
После завершения установки выбираем повышение роли этого сервера до уровня контроллера доменов.
Настройка конфигурации развертывания
Теперь нужно настроить корневой домен:
- В мастере настройки доменных служб Active Directory выбираем операцию добавления нового леса и указываем имя корневого домена. Оно может быть любым.
- В разделе «Параметры контроллера» придумываем и подтверждаем пароль.
- Проходим до раздела «Дополнительные параметры». Указываем имя NetBIOS, если его там нет.
- Проходим до раздела «Проверка предварительных требований». Если проверка готовности пройдена, нажимаем «Установить». Если нет, устраняем недостатки.
После завершения установки необходимо перезагрузиться.
Настройка зоны обратного просмотра
В «Диспетчере серверов» раскрываем список средств и выбираем DNS. Далее:
- Нажимаем «Зона обратного просмотра» – «Создать новую зону».
- Выделяем пункт «Основная зона».
- Выбираем режим «Для всех DNS-серверов, работающих на контроллере домена в этом домене».
- Выбираем зону обратного просмотра IPv4.
- Указываем идентификатор сети – часть IP адресов, которые принадлежат этой зоне.
- Нажимаем «Готово» для применения конфигурации.
Проверить, что все установилось, можно в «Диспетчере DNS».
Настройка DHCP
Возвращаемся в «Диспетчер серверов». Здесь нужно завершить настройку DHCP.
- Указываем данные для авторизации.
- Проверяем сводку и нажимаем «Закрыть».
- После завершения установки снова открываем «Диспетчер серверов» – «Средства» – DHCP.
- В окне DHCP проходим по пути «Имя сервера» – «IPv4» – «Создать область».
- Задаем любое имя DHCP.
- Указываем начальный и конечный IP-адреса для интервала, который будет раздавать сервер.
- Выбираем настройку этих параметров сейчас.
- В окне DHCP переходим по пути «Имя сервера» – «Область» – «Пул адресов». Проверяем, что в списке указан тот диапазон IP-адресов, который мы задали в настройках.
Установка служб удаленных рабочих столов
После настройки DHCP снова открываем «Диспетчер серверов».
- Нажимаем «Управление» – «Добавить роли и компоненты».
- Выбираем установку служб удаленных рабочих столов.
- В разделе «Тип развертывания» выбираем «Быстрый запуск».
- В разделе «Сценарий развертывания» выбираем развертывание рабочих столов на основе сеансов.
- Отмечаем пункт «Автоматически перезапускать конечный сервер, если это потребуется» и нажимаем «Развернуть».
Настройка лицензирования удаленных рабочих столов Windows
Чтобы сервер работал корректно, нужно настроить службу лицензирования.
- Открываем «Диспетчер серверов».
- Переходим по пути «Средства» – «Remote Desktop Services» – «Диспетчер лицензирования удаленных рабочих столов».
- Выбираем в списке сервер, кликаем по нему правой кнопкой и нажимаем «Активировать сервер».
- Нажимаем «Далее» несколько раз, снимаем отметку «Запустить мастер установки лицензий» и затем – «Готово».
- Снова открываем «Диспетчер серверов».
- Переходим в «Службы удаленных рабочих столов».
- В обзоре развертывания нажимаем на меню «Задачи» и выбираем «Изменить свойства развертывания».
- Переходим в раздел «Лицензирование».
- Выбираем тип лицензии.
- Прописываем имя сервера лицензирования – в данном случае это локальный сервер localhost. Нажимаем «Добавить».
- Нажимаем «ОК», чтобы применить настройки.
Добавление лицензий
Осталось добавить лицензии.
- Открываем «Диспетчер серверов».
- Переходим по пути «Средства» – «Remote Desktop Services» – «Диспетчер лицензирования удаленных рабочих столов».
- Кликаем по серверу правой кнопкой и выбираем пункт «Установить лицензии».
- В мастере установки лицензий выбираем программу, по которой были куплены лицензии.
- Указываем номер соглашения и данные лицензии.
- Применяем изменения.
Чтобы проверить статус лицензирования, открываем «Средства» – «Remote Desktop Services» – «Средство диагностики лицензирования удаленных рабочих столов».
На этом настройка терминального сервера на Windows Server завершена. Теперь к серверу могут подключаться удаленные пользователи для выполнения разных задач.
Салимжанов Р.Д
Part 2 Basic Configuration of Windows Server 2019 (RDP, DHCP)
Salimzhanov R.D.
В первой части, мы рассмотрели, как настроить сетевые компоненты, а также рассмотрели создание учетных записей пользователей и настройку прав доступа.
Сейчас мы рассмотрим настройку удаленного доступа и установку необходимых служб (DHCP-сервер).
Воспользуемся протоколом Remote Desktop Protocol (RDP) — это протокол удаленного рабочего стола, который предоставляет возможность удаленного управления компьютером через сеть. Пользователь может подключаться к удаленному компьютеру и управлять им, как если бы он находился непосредственно перед ним. Протокол RDP обеспечивает безопасное и зашифрованное соединение, что позволяет защитить данные и предотвратить несанкционированный доступ к компьютеру.
Для подключения удаленного стола, следует перейти “Диспетчер серверов” и найти там в локальном сервере пункт “Удаленный рабочий стол”:
Нажимаем на него, и выбираем “Разрешить удаленные подключения к этому компьютеру”:
Далее выбираем пользователей, которым разрешим подключение:
Нажимаем “Добавить”:
Выбираем пользователя “USER_admin”:
Нажимаем “ok” и теперь этот пользователь может подключится к серверу, проверим подключение через основной ПК, заранее дав ему доступ:
Открываем основной ПК, пишем в поиске “Подключение к удалённому рабочему столу”:
Далее прописываем IP сервера:
Прописываем пользователя и пароль:
Нажимаем “да”:
Теперь мы подключились:
DHCP-сервер (Dynamic Host Configuration Protocol) — это сервис, который автоматически распределяет IP-адреса между устройствами в сети. Это позволяет упростить процесс настройки сетевых устройств и обеспечивает централизованное управление IP-адресами.
Установка и настройка DHCP-сервера на Windows Server может понадобиться в следующих случаях:
1. Автоматическое назначение IP-адресов: DHCP-сервер автоматически назначает IP-адреса устройствам в сети, что облегчает управление сетью. Это устраняет необходимость вручную настройки IP-адресов на каждом устройстве и помогает избежать конфликтов IP-адресов.
2. Управление адресами: DHCP-сервер управляет пулом доступных IP-адресов и может динамически выделять и освобождать их по мере необходимости. Это позволяет эффективно использовать доступные адреса и предотвращает избыточное расходование адресов.
3. Улучшенное контроль безопасности: DHCP-сервер обеспечивает возможность контроля доступа к сети через использование фильтра MAC-адресов и других методов аутентификации. Это помогает обеспечить безопасность сети и предотвратить несанкционированный доступ.
Для настройки и установки DHCP в диспетчере серверов нажимаем на “Управление” и “Добавить роли и компоненты”:
После следуем инструкции в скринах:
Далее уже выбраны нужные нам компоненты, но для определенных задач следует выбирать конкретно что вам нужно, оставляю ссылку на описание компонентов URL: https://info-comp.ru/softprodobes/572-components-in-windows-server-2016.html
Ждем установки:
После установки слева появился DHCP сервер:
Далее переходим в меню “Средства” и выбираем “DHCP”:
В разделе IPv4 создаем область:
Далее мы можем, добавить машину как отдельный DNS сервер, или создать на этой машине, просто нажав “Далее”.
Точно также, если надо мы можем добавить WINS серверы, если требуется:
Теперь появился пул адресов:
А да и еще, нажав на флажок, диспетчер попросит создать вас две новые группы:
(там нажимаем “Фиксировать” и они автоматически создаются)
Осталось теперь только протестировать:
В следующий части базовой настройки Windows Server 2019, разберем:Настройка DNS-сервера и Active Directory (AD)
1) Как включить и настроить удаленный рабочий стол (RDP) в Windows? // [электронный ресурс]. URL: https://winitpro.ru/index.php/2013/04/29/kak-vklyuchit-udalennyj-rabochij-stol-v-windows-8/ / (дата обращения 01.08.2024).
2) Помощник Админа // [канал]. URL: https://t.me/channel_adminwinru (дата обращения 01.08.2024).
February 11th, 2022 Kapuwa
If you want to copy some shortcuts or files to all users desktop in server 2016/2019. specially if your configuring a remote desktop session host server and you want to copy company applications short cuts to all users desktop.like in previous versions c:\users\all users\desktop is not available on these server editions.
in Server 2019 and 2016 its available in
C:\Users\Public\Desktop
If you cannot see the desktop Folder tick show hidden items from windows explorer ribbon 
Also
To find out the directory for your system run Following command in a PowerShell prompt:
[Environment]::GetFolderPath('CommonDesktopDirectory')
You can leave a response, or trackback from your own site.