我们有一个服务器,我们希望我们的用户能够从办公室内部远程访问,但是只有-few-(pipe理员)应该能够从办公室外login。
目前,任何可以远程进入桌面的人都可以从办公室外部远程访问。
我们使用login脚本来检查连接的计算机名称,如果它不匹配列表,我们拒绝连接。 我们从这张支票中排除了一些用户,所以他们总是能够连接,无论是否在办公室。 因此,您只需为每台办公室计算机(或授权的计算机)添加一行,并为每一位您想要从检查中排除的用户添加一行。 以下是脚本的示例:
IF%USERNAME%== joeschmoe GOTO OK
IF%USERNAME%== janedoe GOTO OK
IF%CLIENTNAME%== OfficeComputer1 GOTO OK
IF%CLIENTNAME%== OfficeComputer2 GOTO OK
IF%CLIENTNAME%== OfficeComputer3 GOTO OK
REM在未授权连接的计算机上显示以下消息。
msg *您无权从此位置login。 您将在10秒内注销。
睡10 LOGOFF
:确定退出
考虑调查IPSec ,如果我理解正确,可以根据包括networking位置,客户机身份(假设它是域的成员)和用户凭据的规则的组合来限制访问。 因此,理论上可以设置IPsec策略,只允许某些计算机上的pipe理员从办公室外部访问RDP。 如果您使用组策略,则可以轻松地将规则应用于希望以相同方式设置的任何其他服务器。
设置terminal服务网关。 你可以在不同的组允许访问的地方设置策略。 只允许通过网关进行远程访问。
不是通过权限。 您可以使用操作系统防火墙拒绝所有外部IP的端口3389访问,并只允许某些外部IP(如果你知道它们是静态的)。 另一个select是拒绝核心FW上的所有外部IP,然后只有在VPN连接到您的networking时才允许RDP。