Win Server 2003/終端服務遠端訪問

辦公室使用者使用瘦客戶端和終端服務從辦公室內訪問 win2003 伺服器。在查看安全設置時，預設情況下，“遠端桌面使用者”組中的所有使用者都可以從辦公室外訪問伺服器，例如在家中。

我們希望預設情況下，大多數使用者只能從辦公室內部訪問伺服器，而為少數真正需要外部訪問的使用者設置另一個使用者組。

您可以在防火牆上阻止外部埠 3389，並要求您希望能夠遠端撥入的使用者使用 VPN 連接。這提供了兩層安全性，只有您希望從外部訪問的使用者才會收到 VPN 帳戶。一旦建立 VPN 連接，他們就可以簡單地使用 RDP 客戶端連接到終端伺服器。

引用自：https://serverfault.com/questions/293968