有什么方法可以阻止用户启动和使用远程桌面并将其限制为仅限本地管理员或域管理员?
原因是我们不希望用户远程桌面回家,但同时我们希望它可供某些用户(如管理员或高级用户)使用。
理想情况下,有一个组策略可以设置为可以从其机器访问远程桌面应用程序的组或用户。
澄清: 我需要这台机器仍然能够进行远程桌面工作,但只能与特定用户或组一起使用。关键是我们允许某些用户使用远程桌面,而其他用户则无权访问它。有些机器有多个用户,所以我们不能只阻止整台机器或通过 IP 阻止。
这需要通过用户帐户或登录来完成。
答案1
为什么您要单独挑出远程桌面?为什么不包括 VNC、GoToMyPC 等?
实际上,没有万无一失的方法。如果你努力尽可能多地阻止,你将不得不做很多工作。
您可以设置防火墙来阻止除您明确允许的内容之外的所有内容,然后仅允许您控制的内容。为您的管理员提供一些方法来临时打开防火墙周围的漏洞或 VPN。您不能简单地为用户阻止公共端口,因为用户可以简单地设置某种 VPN/隧道。
或者您可以使用工具来建立机器上所有允许的应用程序的白名单并阻止所有其他应用程序。
答案2
我认为远程桌面使用特定端口或协议。您可以在防火墙或网络级别限制此端口 - 所有这些都仅适用于特定 IP 地址。
答案3
将 MSTSC.exe 上的 GPO 权限更改为仅管理员组才具有“执行”的权限
答案4
处理这种情况的最简单方法是通过组策略,如上所述。这将允许管理员仍然从本地计算机使用远程桌面。至于 VNC/Logmein/Gotomypc,再次使用组策略禁止用户在其计算机上安装软件。这可能有点 IT 麻烦,但如果您正在寻找锁定,这是最简单的方法。
如果您不使用域或组策略,则只需将用户设为普通用户或高级用户,而不是管理员。