ege*_*dus 2 windows-server-2008 terminal-server group-policy user-profile windows-server-2000
我是管理服务器的新手,但我负责制定远程访问公司网络的任务。
总体计划是通过 VPN 连接到连接到网络的终端服务器。
然后用户将在 RDP 会话中连接到网络,我们将配置该会话以防止文件从网络上移除并移动到远程机器上。
不过,我需要弄清楚两件事才能使其正常工作:
远程用户需要能够使用他们的域登录(使用漫游配置文件设置)登录到终端服务器,但他们无法访问他们在本地登录时通常使用的文档。他们应该能够在终端服务器登录时保存一组不同的文档。
共享文件夹也位于域控制器服务器上。当用户远程登录时,他们无法访问这些文件。
基本上,我们希望将用户限制为安装在终端服务器上的一些业务应用程序,我们还希望他们能够在外出时在 RDP 会话(如 MS Word 和 Excel)中创建和保存文档。我们不希望他们从路上访问他们的本地工作文件。
终端服务器正在运行 MS Server 2008。
域控制器(也是文件服务器)正在运行 Server 2000。
有一个 Cisco 3550 交换机将位于终端服务器和域控制器/文件服务器之间。所以一个想法是使用开关来阻止访问共享文件,这将解决上面的#2。但我不认为我可以使用相同的技术来阻止访问用户配置文件。
是否有某种组策略设置可以进行设置?
我还没有在终端服务器端进行任何设置,所以我无法进行太多测试。我需要对上述两点提出一些合理的建议,以推进并完成设置。
这似乎是一个非常愚蠢的业务需求。但你不是在这里寻找意见。所以说建议。
主要问题是您实际上是在尝试向同一组 Windows 域用户提供有条件的访问权限。真的没有什么好方法可以做你想做的事。用户要么拥有文件共享权限,要么没有。正如您所说,创造性地使用防火墙规则将阻止从终端服务器到文件服务器的流量。既然您不希望用户使用存储在其漫游配置文件中的文件,为什么不也关闭此服务器的漫游配置文件。
另一个看起来更像是妥协的选项是使用组策略禁用终端服务器上的所有 RDP 功能,这些功能通常允许轻松提取数据(驱动器重定向、剪贴板重定向、打印机重定向等)。这仍然为人们提供了对其网络文档的有用访问,但基本上将数据导出功能限制为客户端的屏幕截图。只要您尝试保护的数据不容易从屏幕截图中解析出来,您就是黄金。
哦,不要忘记也拒绝从终端服务器访问 Internet。云中有很多地方可以将数据复制到用户无需管理员权限即可访问的位置。
| 归档时间: |
|
| 查看次数: |
1413 次 |
| 最近记录: |