我们最近部署并测试了基于 MS Windows Server 2012R2 的远程桌面会话主机和远程桌面网关服务的有效 RemoteApps 配置,该配置旨在允许某些用户在服务器场上运行某些应用程序,以漫游配置文件的形式在本地或服务器场中将数据存储在共享(按场)网络资源中,但遇到了一个问题:例如,如果用户只有运行 Microsoft Word 的权限,则可以通过浏览文件打开菜单中的文件系统树轻松运行命令提示符(当然是以他自己的身份),之后他可以启动尚未使用 RDS 为他发布的应用程序(无权通过 RDS Web Access 启动)。我们希望用户无法这样做,同时允许浏览至少他们自己的(漫游)配置文件和连接的远程驱动器。我们应该怎么做才能确保用户只能运行他有权运行的内容,而不能运行除通过远程桌面 Web Access 发布之外的任何其他内容?
答案1
我选择的解决方案是实施针对 RDSH 服务器的细粒度 AppLocker 策略,允许 RemoteApp 用户使用足够多的程序初始化 RDS 环境,然后根据 RD 网关上发布的任何应用程序有选择地允许 Program Files 中的软件访问可通过 RD 网关访问的同一组实体。到目前为止,还没有现成的解决方案。