我对服务器管理还很陌生,但我承担着解决公司网络远程访问的任务。
大致的方案是通过VPN连接到网络所连接的终端服务器。
然后,用户将通过 RDP 会话连接到网络,我们将对其进行配置以防止文件从网络上获取并移动到远程计算机上。
为了实现这个目标我需要弄清楚两件事:
远程用户需要能够使用其域登录(使用漫游配置文件设置)登录到终端服务器,但他们无法访问本地登录时通常使用的文档。他们应该能够在终端服务器登录时保存一组不同的文档。
域控制器服务器上也有一些共享文件夹。当用户远程登录时,他们无法访问这些文件。
基本上,我们希望将用户限制在终端服务器上安装的几个业务应用程序,我们还希望他们能够在旅途中在 RDP 会话中创建和保存文档(如 MS Word 和 Excel)。我们不希望他们在路上访问本地工作文件。
终端服务器正在运行 MS Server 2008。
域控制器(也是文件服务器)正在运行 Server 2000。
终端服务器和域控制器/文件服务器之间有一个 Cisco 3550 交换机。因此,一个想法是使用交换机来阻止对共享文件的访问,这将解决上面的问题 #2。但我认为我不能使用相同的技术来阻止对用户配置文件的访问。
是否有某种组策略设置可以进行此项设置?
我还没有在终端服务器端设置任何东西,所以我无法进行太多测试。我需要针对上述两点提出一些合理的建议,以便继续进行并完成设置。
答案1
这似乎是一个非常愚蠢的业务需求。但你来这里不是为了征求意见。所以还是听听建议吧。
主要问题是您实际上是在尝试向同一组 Windows 域用户提供有条件访问权限。实际上,没有好的方法可以实现您的愿望。用户要么拥有文件共享的权限,要么没有。就像您说的那样,创造性地使用防火墙规则将阻止从终端服务器到文件服务器的流量。既然您不希望用户使用存储在其漫游配置文件中的文件,那么为什么不关闭此服务器的漫游配置文件呢?
另一个看起来更像妥协的选项是使用组策略禁用终端服务器上所有通常允许轻松提取数据的 RDP 功能(驱动器重定向、剪贴板重定向、打印机重定向等)。这仍然允许人们访问他们的网络文档,但基本上将数据导出功能限制为客户端的屏幕截图。只要您要保护的数据不能轻易从屏幕截图中解析,您就万事大吉了。
哦,别忘了也拒绝终端服务器的互联网访问。云中有很多地方可以复制数据,用户无需管理员权限即可访问。