GPO для отключения значка диспетчера серверов не ограничивает доступ для пользователей
Чтобы заставить клиенты говорить друг с другом прямым, не используя центральный узел сервера, Вы оказываетесь перед необходимостью устанавливать то, что обычно называют ячеистой сетью - где все Ваши узлы имеют соединения со всем другие (что Вы делаете, теперь обычно упоминается как "концентратор и говорил").
Я в настоящее время не знаю ни о ком "хорошем" (чтение: легкий) способ управлять этим с OpenVPN, к сожалению. Где Ваш сайт довольно прост (4 узла, считая Ваш DD-WRT дома), это не могло бы быть этим плохо. После той точки Вы собираетесь начать испытывать боль управления статическими маршрутами к каждой подсети через сервер OpenVPN в каждом узле.
Я сожалею, что это не было более "обнадеживающим" сообщением, но сообщите мне, могу ли я помочь Вам с какой-либо конфигурацией. или разъяснения.
Если пользователи уже вошли в систему, эти ярлыки все равно будут им отображаться. Вам необходимо настроить это, прежде чем они войдут в систему или удалят свой локальный профиль. Новые пользователи, входящие в систему, не должны видеть эти значки.
Это не будет ограничивать доступ к этим исполняемым файлам. Если вы хотите, чтобы меню «Пуск» и панель задач были аккуратными, это нормально. Если вы хотите ограничить то, что они могут запускать, вам следует использовать политику ограниченного использования программ или обновление средства блокировки приложений через GPO, чтобы внести в белый список только то, что вы хотите запускать на этой машине.
Сделайте это, чтобы упростить себе жизнь:
Перейдите к нужному объекту групповой политики, отредактируйте его и перейдите к следующему:
User COnfiguration/policies/Administrative Templates/system
Включить: не запускать указанные приложения Windows
В этом другом также нажмите «Показать запрещенные приложения» и добавьте следующее:
ServerManager.exe
cmd.exe
powershell.exe
Применить и выйти из системы и снова, в зависимости от репликации сервера, для репликации может потребоваться до часа, если это не удается, выполните GPupdate /force[1158090 impression.
Это предотвратит доступ пользователей к диспетчеру сервера, помните, что администратор не должен быть частью настраиваемого объекта групповой политики.