我正在寻找有关为终端服务服务器组策略配置的一些常规设置的方向。它运行 Server 2003 Standard,可同时容纳大约 20 人。
显然你可以得到非常细化和限制性的,但我正在寻找一个好的、通用的基线来平衡安全性和可用性。我会根据需要进行调整。
我的一般要求是:
- 用户不能安装任何类型的新软件、驱动程序或更新。
- 用户数据(Word、Excel、PDF 等)应存储在网络驱动器上,而不是本地文件系统上。
- 用户应该不能修改服务器设置、重新启动服务器、关闭它、修改电源选项等。
AskOverflow.Dev
通过让用户使用非特权帐户运行,您将获得绝大多数您想要的东西。如果您让用户在您的终端服务器计算机上使用“管理员”帐户运行,那么您要求几乎立即销毁该框。(此外,用户甚至不应该使用具有“管理员”权限的台式 PC 进行日常工作。终端服务器计算机只是一台大型多头 PC,在这方面与台式 PC 没有什么不同.)
除此之外,您似乎希望文件夹重定向将“我的文档”(可能还有“桌面”和“应用程序数据”文件夹)放到您希望存储用户数据的服务器上。您并不能真正阻止用户保存到每个用户的“临时”目录或他们的用户配置文件下(不破坏操作系统的工作方式)。文件夹重定向和用户教育是您的朋友。但是,没有“管理员”权限将严重限制用户可以存储文件的位置数量,并使他们更有可能将文件保存在正确的位置。
通常,我使用在环回策略处理“替换”模式下设置的组策略对象,应用于其中包含终端服务器计算机的 OU。(这是组策略环回策略处理的一个很好的应用程序——你应该阅读它。)
我用我想应用于终端服务器用户的所有每用户设置填充该环回 GPO(通常是 Microsoft Office 自定义、文件夹重定向、对 Windows 外观的调整等)。
如果您有多个终端服务器,我建议为每个用户设置一个终端服务漫游用户配置文件(到不同于其常规 Windows 漫游用户配置文件的位置),以便他们的终端服务环境在不同的终端服务器机器之间“跟随”它们.
编辑:
如果您决定确实要限制允许用户运行的程序,我建议您查看“软件限制策略”(请参阅 http://technet.microsoft.com/en-us/library/bb457006。 .aspx)。您可以阻止用户执行应用程序,但存储在特定路径中的应用程序(不允许用户写入的地方——“\Program Files...”、“\Windows”等)或具有特定数字的应用程序除外。签名。如果有人将 EXE 下载到他们的 %TEMP% 目录(允许他们写入的地方),他们会发现 Windows 不会执行它。
我希望实施某种形式的严格的应用程序限制。阻止他们运行除办公套件和日常工作所需的任何其他东西之外的任何东西。即使它们被锁定以使其无法运行恶意软件,流氓应用程序仍可能消耗资源。
禁用墙纸;这会影响性能。除非确实需要更高,否则也将其强制为 256 色。