我正在寻找有关配置终端服务服务器组策略的一些常规设置的指导。它运行的是 Server 2003 Standard,可同时容纳大约 20 人。
显然,您可以获得非常细致和严格的限制,但我正在寻找一个良好的通用基准,以平衡安全性和可用性。我会根据需要进行调整。
我的一般要求是:
- 用户无法安装任何类型的新软件、驱动程序或更新。
- 用户数据(Word、Excel、PDF 等)应该存储在网络驱动器上,而不是本地文件系统上。
- 用户不应该能够修改服务器设置、重新启动服务器、关闭服务器、修改电源选项等。
答案1
通过让用户使用非特权帐户运行,您将获得绝大多数想要的东西。如果您让用户在终端服务器计算机上使用“管理员”帐户运行,那么您几乎是在要求立即销毁该机器。(此外,用户甚至不应该使用“管理员”权限使用他们的台式电脑进行日常工作。终端服务器计算机只是一台大型的多头电脑,在这方面与台式电脑没有什么不同。)
除此之外,您似乎需要文件夹重定向来将“我的文档”(可能还有“桌面”和“应用程序数据”文件夹)放到您想要存储用户数据的服务器上。您实际上无法阻止用户将数据保存到每个用户的“临时”目录或他们的用户配置文件下(而不会破坏操作系统的工作原理)。文件夹重定向和用户教育是您的好朋友。但是,没有“管理员”权限将严重限制用户可以存储文件的位置数量,并且更有可能让他们将文件保存在正确的位置。
通常,我使用在环回策略处理“替换”模式下设置的组策略对象,并将其应用于包含终端服务器计算机的 OU。(这是组策略环回策略处理的一个很棒的应用程序 - 您应该仔细阅读它。)
我用想要应用于终端服务器用户的所有每个用户设置(通常是 Microsoft Office 自定义、文件夹重定向、对 Windows 外观的调整等)填充该环回 GPO。
如果您有多个终端服务器,我建议为每个用户设置一个终端服务漫游用户配置文件(设置到不同于其常规 Windows 漫游用户配置文件的位置),以便他们的终端服务环境在不同的终端服务器机器之间“跟随”他们。
编辑:
如果你决定要限制用户可以运行的程序,我建议你看一下“软件限制策略”(见http://technet.microsoft.com/en-us/library/bb457006.aspx)。您可以阻止用户执行除存储在特定路径(用户无权写入的位置 - “\Program Files...”、“\Windows”等)或具有特定数字签名的应用程序之外的应用程序。如果有人将 EXE 下载到他们的 %TEMP% 目录(他们被允许写入的位置),他们会发现 Windows 不会执行它。
答案2
我会考虑实施某种形式的严格应用程序限制。阻止他们运行除办公套件和日常工作所需的任何其他程序之外的程序。即使锁定了它们,使它们无法运行恶意软件,恶意应用程序仍会消耗资源。
禁用壁纸;这会影响性能。除非确实需要更高颜色,否则请强制使用 256 色。