Windows-Server-2008-R2

隔離同一使用者帳戶的多個終端伺服器會話

  • November 20, 2012

我必須通過 RDP 向匿名使用者發佈單個應用程序。伺服器是 Windows 2008 R2,使用者連接使用 Ericom 的 WebConnect 解決方案處理。這並沒有太大變化 - 對於終端伺服器來說,它仍然是一個正常的 RDP 連接。

問題

Windows 2008 R2 終端伺服器可以完全隔離同一使用者的並行會話嗎?還是我必須將應用程序放在某種沙箱中?

設置

為了使未知訪問者能夠連接到應用程序,使用了一個名為的通用域訪客使用者帳戶visitor。為了允許每台伺服器有多個並行會話,我禁用了該設置Restrict each user to a single session

我現在希望每個訪問者都獲得一個新的會話。具體來說:使用者連接,配置的應用程序啟動,使用者使用它,進行更改(保存到系統資料庫),關閉應用程序並丟棄會話。我設置了一個組策略,以便使用者只能獲得一個臨時配置文件,該配置文件不會通過Delete cached copies of roaming profiles和同步回漫遊配置文件Prevent Roaming Profile changes from propagating to the server

問題

只要一次只有一個visitor連接到伺服器,上述方法就可以正常工作。如果同時存在更多使用者,例如visitor #1和,則主要問題會出現visitor #2。它們共享相同的環境——使用者的系統資料庫等等。所以這兩個實例相互影響,這是不好的。

第二個問題是最近關閉的連接可以由另一個使用者恢復。這一定是不可能的。(我仍在尋找防止這種情況的方法,但這不是這裡的主要問題。我們可能會完全禁止重新連接。)

在這種情況下,安全性不是大問題。但我們要確保每個使用者看到的都是一樣的。

謝謝

同一使用者帳戶的登錄之間沒有安全隔離。您將不得不創建多個使用者帳戶以在使用者登錄之間實現作業系統級別的隔離。

實現結束斷開連接的會話目標的最佳方法是設置“設置斷開連接的會話的時間限制”策略設置。我知道沒有任何選項會立即結束斷開的終端服務會話,但此設置將在斷開連接後的 1 分鐘內結束它們。

引用自:https://serverfault.com/questions/450556