大约有 25 个用户连接到我们的终端服务器(远程桌面) - 没有使用活动目录。我怎样才能隐藏页面底部的任务栏,而不是自动隐藏它。我希望用户无法使用它(当然管理员除外)。
麦克风
答案1
按照 Microsoft 在此处提供的说明进行操作:http://support.microsoft.com/kb/278295。
我按照他们的建议锁定了我的 TS,没有遇到任何问题。在我看来,你将遇到的两个最大安全漏洞是电子邮件附件和是否允许网页浏览。
如果您不希望他们使用 iexplore.exe,那么您可以拒绝访问该可执行文件或将任何互联网流量定向到不起作用的虚假代理服务器。
答案2
如果没有 Active Directory 域来应用组策略,则无法在终端服务器计算机上创建仅适用于“普通用户”而不适用于“管理员”的策略设置,这将是一种黑客行为。(您必须拒绝“管理员”读取“%SystemRoot%\System32\GroupPolicy”文件夹的权限 - 即存储“本地组策略”的位置。)
您可能可以通过使用不同的 shell(“自定义用户界面”策略,位于“用户配置”下的“管理模板”下的“系统”节点中)来实现您想要的功能,但您决定使用哪个 shell 将是您的下一个问题。Windows 3.1 shell“程序管理器”的替代品层出不穷,但在 Windows 95 中推出 Explorer 之后,替代 shell“市场”就大大枯竭了。进行一些挖掘,看看您能想出什么。
就我个人而言,我对您要做的事情有些不同意。除非这是一个信息亭环境,否则可能真的没有必要高度限制用户界面。我猜您的用户将完成他们的工作,并且一切都会顺利进行,而无需进行大量更改并“锁定”终端服务器计算机上的用户界面。假设您的用户在终端服务器计算机上没有“管理员”权限,并且您没有对默认安全设置(文件系统、注册表 ACL 等)进行任何彻底的更改,那么该机器在“开箱即用”的情况下就可以很好地“防御”用户攻击。