我需要完成的任务是:通过一次登录,当用户实际在大楼内时,我需要他们看到所有内容。当他们使用相同登录的终端服务时,他们不应该能够看到网络上的文件系统。我可以锁定运行终端服务的 PC,因为这是它的唯一用途。
细节:
带有终端服务的Windows/2003 Server。
每个用户(例如,johndoe)只需登录一次。
当 johndoe 在办公室的办公桌上登录网络时,他可以根据组策略查看网络文件。
当 johndoe 从建筑物外登录终端服务时,我们不想让他看到网络。使用 2x 制作已发布的应用程序,但该应用程序具有允许用户查看网络的“功能”。
在 termina 服务上发布的应用程序(仅)是一个与 windows 登录绑定的文档管理系统,所以我不能给他们两个登录名。
只需一次登录,当他们在大楼里时,我需要他们看到一切。当他们使用终端服务时,他们不应该能够看到网络。我可以锁定运行终端服务的 PC,因为这是它的唯一用途。
答案1
问题还不够清楚。
用户在办公室时是否登录终端服务器和远程工作时?还是仅在远程工作时?
如果用户仅远程登录终端服务,则解决方案是应用环回策略应用于您的终端服务 OU。Greg 的回答则包含您要在该 GPO 中应用的策略设置类型。
另一方面,如果您的用户在远程和办公室时登录终端服务器,并且必须使用同一个用户帐户登录,那么您将陷入困境。如果是这种情况,我认为没有适合您的配置,而不会陷入恶意黑客攻击。也许值得考虑创建一个地点在 AD 中为您的 VPN 客户端添加一个策略,然后对该站点应用策略以限制网络浏览,但如果用户连接到终端服务器,我认为这将不适用。不过,这是我能想到的唯一可能让您获得正确结果的途径。
答案2
我相信您想要使用链接到终端服务器的 GPO,它指定:
管理模板\Windows 资源管理器:
- 隐藏驱动器
- 防止从“我的电脑”访问驱动器
(如果网络资源被分配到驱动器号)
管理模板\Windows 资源管理器:
- “我的网络位置”中没有整个网络
- 删除“映射网络驱动器”和“断开网络驱动器”
管理模板\开始菜单和任务栏:
- 从开始菜单中删除“网上邻居”
- 从开始菜单中删除“运行”
管理模板\桌面:
- 删除“网上邻居”
这可能可以帮您入门。您可能还想应用其他限制。