我公司有一台云服务器,上面安装了 Windows 2003 Web 版。任何人都可以通过远程桌面连接访问该服务器。我想设置一些限制,需要你们的指导。
我们在不同的大洲有两个站点,公司员工可以从这两个位置访问此云服务器。第一个站点也是我们的生产站点,安装了两个互联网连接,一个使用静态 IP,也是主连接,另一个使用动态 IP,仅在主互联网出现故障时使用。第二个站点只有一个互联网连接可用,它也使用动态 IP。
我想以这种方式创建三个用户 ID,其中一个用户 ID 与我们生产站点的静态 IP 映射,因此用户只能从公司的互联网登录,这将有助于我们防止任何信息泄露。第二个和第三个 ID 可以允许从任何动态 IP 进行访问,以方便第一个站点的 IT 管理员和第二个站点的公司管理人员。
答案1
Windows Server 中没有任何内置功能可以将用户帐户“映射”到 IP 地址。我认为最好为机器设置防火墙,以防止来自不必要来源的登录尝试。
由于您有一个动态 IP 地址,因此与普通的 Windows 防火墙规则相冲突不会有太大用处。
最好的办法可能是使用 IPSEC 允许来自授权计算机的连接并拒绝所有其他到 RDP 服务器(端口 3389)的传入连接。由于 Windows 2003 Web 版无法加入域,因此您必须自己创建必要的证书以允许基于证书的身份验证,或者在这些机器之间使用预共享密钥进行 IPSEC。