RDP 通過 IP 限制管理員

我有一些面向 Internet 的 Windows (2008 R2) RDP 伺服器和一個使用者，我只希望他們在我們的本地子網上訪問 RDP 伺服器，但允許其他使用者進行外部訪問。

是否可以將使用者的 RDP 訪問僅限於內部網路？更好的是，有沒有辦法通過 IP 限制組的 RDP 訪問？

我查看了使用 Windows 防火牆，但沒有看到任何關於限制特定使用者或組訪問的內容。我檢查了一些組策略設置，但找不到與通過 IP 訪問 RDP 相關的任何內容。

防火牆可以通過源、埠和目標來限制連接，但它對嘗試登錄安全連接的使用者一無所知。因此，您只能阻止所有使用者或允許所有使用者。另一方面，RDP 沒有通過 IP 地址限制使用者的功能，僅通過登錄名來限制使用者。

幸運的是，有一個解決方案：安裝 RD Gateway。僅允許通過此網關從 Internet 進行連接，並使用 RD 網關的授權策略允許管理員以外的任何人使用網關。您本地網路中的管理員仍然可以直接連接到伺服器。

引用自：https://serverfault.com/questions/854893