我是管理服务器的新手,但我负责制定远程访问公司网络的任务。
总体计划是通过 VPN 连接到连接到网络的终端服务器。
然后,用户将在 RDP 会话中连接到网络,我们将配置该会话以防止文件从网络上取下并移动到远程计算机上。
不过,我需要弄清楚两件事才能使其正常工作:
远程用户需要能够使用他们的域登录(使用漫游配置文件设置)登录到终端服务器,但他们无法访问他们在本地登录时通常使用的文档。他们应该能够在终端服务器登录时保存一组不同的文档。
共享文件夹也位于域控制器服务器上。当用户远程登录时,他们无法访问这些文件。
基本上,我们希望将用户限制在终端服务器上安装的一些业务应用程序,我们还希望他们能够在外出时在 RDP 会话(如 MS Word 和 Excel)中创建和保存文档。我们不希望他们从路上访问他们的本地工作文件。
终端服务器正在运行 MS Server 2008。
域控制器(也是文件服务器)正在运行 Server 2000。
有一个 Cisco 3550 交换机将位于终端服务器和域控制器/文件服务器之间。所以一个想法是使用开关来防止访问共享文件,这将解决上面的#2。但我不认为我可以使用相同的技术来阻止对用户配置文件的访问。
是否可以通过某种组策略设置来进行设置?
我在终端服务器端还没有任何设置,所以我不能测试太多。我需要针对以上两点提出一些明智的建议,以推进并完成设置。
这似乎是一个非常愚蠢的业务需求。但你不是来这里寻求意见的。所以关于建议。
主要问题是您实质上是在尝试向同一组 Windows 域用户授予条件访问权限。真的没有什么好办法可以为所欲为。用户要么拥有文件共享权限,要么没有。正如您所说,创造性地使用防火墙规则将阻止从终端服务器到文件服务器的流量。并且由于您不希望用户使用存储在其漫游配置文件中的文件,为什么不也关闭此服务器的漫游配置文件。
另一个似乎更妥协的选择是使用组策略禁用终端服务器上的所有 RDP 功能,这些功能通常允许轻松提取数据(驱动器重定向、剪贴板重定向、打印机重定向等)。这仍然为人们提供了对其网络文档的有用访问权限,但基本上将数据导出功能限制为客户端的屏幕截图。只要您尝试保护的数据不容易从屏幕截图中解析出来,您就万事大吉了。
哦,不要忘记也拒绝终端服务器的 Internet 访问。云中有很多地方可以将数据复制到用户无需管理员权限即可访问的地方。