所以我有以下问题。我想在域中拥有一个非常受限制的终端服务器,用户可以使用 RDP 登录并只能查看某些文件(在本地 TS 驱动器上)。非常重要的一点是,用户不可能以任何方式窃取或移动这些文件。
我已经删除了本地 PC 和 TS 之间的剪贴板以及 USB/打印机或本地驱动器等本地设备的连接。互联网访问也被阻止了。所以我唯一能做的就是限制 TS 会话访问网络中的共享。我试图阻止端口 445、135、137 和 139 来实现我的目标,但一旦我这样做,我就无法再访问 RDP 了。
所以我的问题是,如何阻止对共享或网络的访问而不阻止 RDP 本身?一定有办法 ;)!!
顺便说一句。我知道我可以只创建一个新的域用户,仅用于连接到 TS,并且不授予此用户任何共享或域的权限,但我不想为单个用户设置多个用户帐户。因此,用户必须使用他用于访问本地工作站的普通用户来访问 TS 会话。