Терминальный доступ для AX

[gl00mie]

Цитата:

Сообщение от KiselevSA

Из сравнения Citrix и TS в свое время пришел к выводу, что в Citrix удобнее и менее глючно реализован доступ к локальным ресурсам компьютера из локальной сессии

Из моего скромного опыта, отличия разве что в доступе к дискам: в цитриксе свой локальный диск C: можно и в терминале увидеть как C: (если там загрузочный диск сервера называется иначе), а в TS - как \\tsclient\c\. В остальном, каких-то отличий я лично не заметил...

Цитата:

Сообщение от AlexeyS

Года три назад наш админ поставил citrix посмотреть. Там есть такая фича, не помню как называется, наверное публикация приложений - когда терминально запускается не рабочий стол, а программа, например, аксапта.

О, да, это просто мега-фича цитрикса в штатном виндовом TS она просто более скромно обозвана: start the following program on connection (для буржуйской версии) - и указание локального относительно сервера TS пути к приложению и параметров ком.строки. Эта фича в TS есть вроде со времен Windows NT 4 TS (была такая отдельная версия NT Server), настраивается либо в клиентском rdp-конфиге для подключения, либо в параметрах подключения на сервере.
К слову, если уж пошел разговор об отличиях, можно упомянуть разве что прозрачную для пользователя аутентификацию на терминальном сервере (чтоб не надо было вводить логин с паролем, а использовать учетные данные, c которыми запущен терминальный клиент). Для w2k8 TS это штатно реализовано лишь при запуске терминального клиента под Вистой, а для XP необходимы дополнительные телодвижения - настройка использования нового Security Service Provider'а (SSP), см. kb951608.

Цитата:

Сообщение от EAlex

Одно из достоинств цитрикса - это гибкий и достаточно удобный механизм публикации приложений, когда группам пользователей настраиваются видимые им приложения.

Ну что значит "видимые"? С точки зрения удобства для пользователей - возможно, с точике же зрения какого-то разграничения доступа - вряд ли. Это все равно, что ограничивать видимые приложения на локальном компьютере с помощью вынесения ярлычков на рабочий стол. Ведь что такое эти "приложения" в цитриксе? Это просто указание, какую программу с какими параметрами ком.строки и из какого каталога запускать. Вот, к примеру, настроена у вас в цитриксе "публикация приложения" - той же Аксапты, и думаете вы, что пользователь ничего кроме нее на терминальном сервере не запустит. А он берет, из любого места системы нажимает кнопку "Печать", в качестве канала вывода выбирает файл, рядом с полем ввода имени файла жмет кнопку открытия соотв. диалога - и все, приехали... Выбираем в качестве фильтра по расширениям "Все файлы (*.*)", переходим к виндовому каталогу терминального сервера, находим там cmd.exe, жмем правой кнопкой, выбираем "Открыть" (потому что по умолчанию действие - "Выбрать"), получаем запущенный на терминальном сервере командный процессор. А еще бывали случаи, когда пользователи с обрубленным выходом в инет в той же Аксапте на терминальном сервере открывали справку (она же там в виде веб-компоненты), вбивали в адресную строку нужный URL и использовали окно справки как браузер Последнее, впрочем, легко перекрывается...

[AlexeyS]

Цитата:

Сообщение от gl00mie

Ну что значит "видимые"? С точки зрения удобства для пользователей - возможно, с точике же зрения какого-то разграничения доступа - вряд ли. Это все равно, что ограничивать видимые приложения на локальном компьютере с помощью вынесения ярлычков на рабочий стол. Ведь что такое эти "приложения" в цитриксе? Это просто указание, какую программу с какими параметрами ком.строки и из какого каталога запускать. Вот, к примеру, настроена у вас в цитриксе "публикация приложения" - той же Аксапты, и думаете вы, что пользователь ничего кроме нее на терминальном сервере не запустит. А он берет, из любого места системы нажимает кнопку "Печать", в качестве канала вывода выбирает файл, рядом с полем ввода имени файла жмет кнопку открытия соотв. диалога - и все, приехали... Выбираем в качестве фильтра по расширениям "Все файлы (*.*)", переходим к виндовому каталогу терминального сервера, находим там cmd.exe, жмем правой кнопкой, выбираем "Открыть" (потому что по умолчанию действие - "Выбрать"), получаем запущенный на терминальном сервере командный процессор. А еще бывали случаи, когда пользователи с обрубленным выходом в инет в той же Аксапте на терминальном сервере открывали справку (она же там в виде веб-компоненты), вбивали в адресную строку нужный URL и использовали окно справки как браузер Последнее, впрочем, легко перекрывается...

в винде часть проблем снимается стандартным механизмом прав доступа
тупо пользователю или группе закрывается доступ к каталогу с программой
а ярлык в меню пускай себе висит
да и на терминальном сервере можно подредактировать файл hosts и закрыть много лишнего, если на прокси нет фильтра

[gl00mie]

Цитата:

Сообщение от AlexeyS

в винде часть проблем снимается стандартным механизмом прав доступа. тупо пользователю или группе закрывается доступ к каталогу с программой

Именно что в винде и именно что стандартным разграничением прав доступа, а никак не цитриксовскими этими "публикациями приложений", о чем и был изначальный тезис

Цитата:

Сообщение от AlexeyS

да и на терминальном сервере можно подредактировать файл hosts и закрыть много лишнего, если на прокси нет фильтра

Ну, править hosts, чтоб, скажем, отрубить выход в инет, - это как-то черезчур... Просто в настройках прокси/файрвола не надо оставлять разрешений для хостов (в данном случае - терминальных серверов), если на них может заходить кто ни попадя