使用 AD GPO 鎖定遠端桌面

我目前正在通過 VPN 鎖定公司的遠端桌面訪問。我需要做的是通過活動目錄為將要訪問的工作站禁用遠端列印、文件傳輸和剪貼板。我無法確定使用哪些 GPO 來限制這一點。

我的基本方法是將 VPN 使用者限制在 3389 埠，這樣他們就可以遠端訪問他們的工作電腦，但不能訪問其他任何東西（稍後我將研究第 7 層掃描）。有了這個，我想確保他們無法通過文件、列印或剪貼板傳輸數據。

環境是Windows Server 2003

因此，如果我了解您的要求，您就有了 VPN 設置，因此當使用者連接時，他們位於限制所有流量的防火牆後面，除了 3389 用於 MS RDP 到他們的桌面來完成他們的工作。您還希望限制使用者從他們的工作 PC 列印到任何外部列印機，防止他們通過 RDP 會話剪貼板剪切和粘貼以及從他們的 PC 傳輸文件。

我認為您需要從網路角度以及策略設置來看待這一點。

您可以在 GPO 電腦設置“管理模板\Windows 組件\遠端桌面服務\遠端桌面會話主機\設備和資源重定向\不允許 LPT 埠重定向”下創建策略並阻止 LPT 埠重定向。您還可以在同一位置配置剪貼板。

至於將文件從那台 PC 傳輸到其他地方，您將不得不限製網路層的協議，以防止 SMB、HTTP、HTTPS、FTP 等從您的內部網路傳輸到外部任何地方。如果這已經存在，那麼與 RDP 相關的任何內容都不應改變。AFAIK，不支持通過 RDP 剪切和粘貼文件。

請記住，如果您允許他們從他們的桌面訪問電子郵件，他們總是可以通過電子郵件發送文件等，除非您在電子郵件伺服器上阻止它。

引用自：https://serverfault.com/questions/147551