Добрый день.
Имеется сервер 2008R2 (поднят уже давно)
Настроен доступ по RDP. Так же есть приложение опубликованное в RemoteApp.

Вопрос: как пользователю разрешить использовать только RemoteApp и запретить доступ на сервер по RDP?
То есть что бы он не мог зайти на сервер по RDP и видеть рабочий стол?

Определить группу пользователей и настроить групповую политику (так же можно применить фильтр WMI для указания на каком устройстве применять):
Компоненты Windows/Службы удаленных рабочих столов/Узел сеансов удаленных рабочих столов/Среда удаленных сеансов
, где в:
Запускать программу при подключении Включено
, задать:
Путь к программе и имя файла %systemroot%\system32\logoff.exe

Т.е. при попытке входа пользователя автоматически будет разлогиневать/ пользователю будет отлуп.

Т.е. при попытке входа пользователя автоматически будет разлогиневать/ пользователю будет отлуп. »
Такая мысль у меня была.
Но думала, что это и на RemoteApp тоже будет работать и при запуске приложения будет происходить logoff

Но думала, что это и на RemoteApp тоже будет работать и при запуске приложения будет происходить logoff »
Нет, не будет.

Забыла добавить...
Сервер локальный, не в домене.
И найти как применить политику на определенную группу - не получается

Забыла добавить...»
Упс, нда;

Сервер локальный, не в домене.
И найти как применить политику на определенную группу - не получается »
Оно (https://efsol.ru/manuals/groups-windows-server-2019/#:~:text=%D0%9B%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F%20%D0%B3%D1%80%D1%83%D0%BF%D0%BF%D0% BE%D0%B2%D0%B0%D1%8F%20%D0%BF%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B0%20%D0%BF%D0%BE%D0%B7%D0%B2%D 0%BE%D0%BB%D1%8F%D0%B5%D1%82%20%D0%BA%D0%BE%D0%BD%D1%82%D1%80%D0%BE%D0%BB%D0%B8%D1%80%D0%BE%D0%B2%D0 %B0%D1%82%D1%8C,%D0%B4%D0%BB%D1%8F%20%D0%BA%D0%B0%D0%B6%D0%B4%D0%BE%D0%B9%20%D0%B8%D0%B7%20%D1%83%D1 %87%D1%91%D1%82%D0%BD%D1%8B%D1%85%20%D0%B7%D0%B0%D0%BF%D0%B8%D1%81%D0%B5%D0%B9.)?

Оно? »

Находила подобную оснастку.
Смутило что нет той группы к которой хотела применить данную политику.
Только Админы и НеАдмины.
Буду пробовать.

Проблема в том, что сервер находиться далеко и доступ к нему у меня только по RDP.
В случае косяка - вернуть доступ возможно, но потребуется время и помощь тех, кто рядом с ним

В случае косяка - вернуть доступ возможно, но потребуется время и помощь тех, кто рядом с ним »
Предварительно потренироваться на кошечках.

разрешить использовать только RemoteApp и запретить доступ на сервер по RDP?
Решение "в лоб" - bat-ник следующего содержания:
@echo off
whoami /groups | find /i "S-1-5-32-544" >nul 2>&1
if not %errorlevel% == 0 (logoff)
Его кладём на сервер по пути C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
Теперь (если пользователь не принадлежит группе Администраторы) и попробует подключиться напрямую к удаленному рабочему столу, его принудительно разлогинит.