阻止從終端伺服器登錄的使用者訪問使用者文件
我對管理伺服器相當陌生,但我一直負責制定遠端訪問公司網路的任務。
一般的計劃是通過 VPN 連接到連接到網路的終端伺服器。
然後,使用者將在 RDP 會話中連接到網路,我們將配置該會話以防止文件從網路中移除並移動到遠端電腦上。
不過,我需要弄清楚兩件事才能使它起作用:
- 遠端使用者需要能夠使用他們的域登錄(使用漫遊配置文件設置)登錄到終端伺服器,但他們無法訪問他們在本地登錄時通常使用的文件。他們應該能夠在其終端伺服器登錄時保存一組不同的文件。
- 有共享文件夾也位於域控制器伺服器上。當使用者遠端登錄時,他們無法訪問這些文件。
基本上,我們希望將使用者限制為安裝在終端伺服器上的一些業務應用程序,我們還希望他們能夠在外出時在 RDP 會話中創建和保存文件(如 MS Word 和 Excel)。而且我們不希望他們從路上訪問他們的本地工作文件。
終端伺服器正在執行 MS Server 2008。
域控制器(也是文件伺服器)正在執行 Server 2000。
在終端伺服器和域控制器/文件伺服器之間有一個 Cisco 3550 交換機。所以一個想法是使用開關來防止訪問共享文件,這將解決上面的#2。但我不認為我可以使用相同的技術來阻止對使用者配置文件的訪問。
是否可以進行某種組策略設置來進行設置?
我還沒有在終端伺服器端進行任何設置,所以我無法進行太多測試。我需要為上述兩點提出某種明智的建議,以推進並完成設置。
這似乎是一個非常愚蠢的業務需求。但你不是在這裡尋找意見。等等建議。
主要問題是您實際上是在嘗試為同一組 Windows 域使用者提供條件訪問權限。真的沒有什麼好方法可以做你想做的事。使用者要麼擁有文件共享的權限,要麼沒有。正如您所說,創造性地使用防火牆規則將阻止從終端伺服器到文件伺服器的流量。既然您不希望使用者使用儲存在其漫遊配置文件中的文件,為什麼不也關閉此伺服器的漫遊配置文件。
另一個似乎更妥協的選項是使用組策略禁用終端伺服器上的所有 RDP 功能,這些功能通常允許輕鬆提取數據(驅動器重定向、剪貼板重定向、列印機重定向等)。這仍然使人們可以訪問他們的網路文件,但基本上將數據導出功能限制為客戶端的螢幕截圖。只要您試圖保護的數據不容易從螢幕截圖中解析出來,那麼您就是黃金。
哦,別忘了也拒絕來自終端伺服器的 Internet 訪問。雲中有很多地方可以將數據複製到使用者無需管理員權限即可訪問的地方。