我遇到一个问题:用户通过远程桌面连接到我们的终端服务器,然后从该服务器创建到另一台服务器的 VPN 连接,然后改变网络并停止所有远程桌面进入服务器的功能。
我们希望能够删除标准用户从 Windows 2008 R2 终端服务器创建或连接 VPN 连接的能力,为此,我们创建了应该只执行此操作的 GPO(用户配置 \ 管理模板 \ 网络 \ 网络连接),但是用户仍然可以创建连接:(环回处理已启用,RSoP 显示适用于该服务器上的用户的策略,因此......
作为临时解决方法,我将 IP 帮助服务(似乎是启动 VPN 连接或至少进行本地路由修改所必需的)设置为启动类型“已禁用”。该服务器上的其他任何功能似乎都不需要它,尽管我对该服务了解不够,无法确定。
我是不是做了一些明显错误的事情?有人对我如何实现这一点有什么好的建议吗?或者我出于某种原因试图做的事情是错误的?
答案1
这可能看起来很严重,但是,如果他们不需要访问控制面板,我建议禁用用户对整个控制面板的访问。我在 2003 终端服务器上使用了此功能(是的,我知道,不是同一个版本)。基本上,这可以防止用户对机器进行任何更改。很可能,他们可能不需要这样做,只是把终端服务器弄乱了。
用户/策略/控制面板/禁止访问控制面板
虽然我不确定这是否适用于你的情况,因为它取决于用户通过 RDP 访问时需要多少访问权限。
此外,如果用户是管理员,GP 将覆盖 TCP/IP 高级设置。您可能需要检查并确保用户没有将自己设为本地管理员。他们可能会以这种方式覆盖策略。
答案2
当用户创建 VPN 连接时,他们取消勾选配置在远程网络中使用默认网关。如果不取消勾选,则远程服务器上的所有流量都将通过VPN站点的网关,这会导致远程桌面失败。
您可以通过以下方式更改
- 右键点击VPN连接,属性
- 在“网络”选项卡中,选择 IPv4,属性
- 单击“高级”,取消勾选“在远程网络中使用默认网关”