有没有办法让终端服务对服务器的物理网络接口进行某种“抽象”,以便可以通过 gpo 进行管理,以授予或禁止不同用户的访问权限?
基本思想是拥有 2 个网络接口(用户和服务器/管理),并且不允许终端会话内的用户访问服务器/管理网络。
或者这根本就不可能?有什么更好的方法吗?
答案1
您正在寻找的不是抽象,而是基于用户令牌的防火墙解决方案,它允许您对特定用户运行的进程的流量进行沙盒处理/过滤。这至少Windows 防火墙未完成,不过,可能存在可行的第三方解决方案。
也许更好的安全方法是不要混淆用户和管理基础设施,而是为管理员提供不向用户开放的自己的终端服务器。