我需要完成的事情:只需一次login,当用户身处build筑物时,我需要他们看到一切。 当他们使用相同login的terminal服务时,他们不应该能够看到networking上的文件系统。 我可以locking运行terminal服务的PC,因为这是它的唯一用途。
细节:
Windows / 2003服务器与terminal服务。
一个用户login(例如,johndoe)。
当johndoe在办公室桌面loginnetworking时,他可以根据组策略查看networking文件。
当johndoe从大楼外loginterminal服务时,我们不想让他看到networking。 使用2x做一个发布的应用程序,但该应用程序有一个“function”,允许用户看到networking。
已发布的terminal服务应用(仅限于)是一个与Windowslogin绑定的文档pipe理系统,所以我不能给他们两个login名。
只要一次login,当他们在大楼里时,我需要他们看到一切。 当他们使用terminal服务时,他们不应该能够看到networking。 我可以locking运行terminal服务的PC,因为这是它的唯一用途。
这个问题还不够清楚。
用户是否在办公室和远程工作时login到terminal服务器? 或者只是在远程工作?
如果用户仅远程login到terminal服务,则解决scheme是应用应用于terminal服务OU的环回策略 。 Greg的回答就包含了您想要在该GPO中应用的策略设置。
另一方面,如果您的用户远程login到terminal服务器,并且在办公室,并且必须使用相同的用户帐户loginterminal服务器,那么您将处于一个受到伤害的整个世界。 如果遇到这种情况,我不认为有支持的configuration,而不会陷入恶意的黑客行为。 在AD中为你的VPN客户端创build一个站点可能是值得的,然后将策略应用到该站点来限制networking浏览,但是如果用户连接到terminal服务器,我不认为这将适用。 不过,这是我能看到的唯一途径,可能会为您带来正确的结果。
我相信你想要使用链接到terminal服务器的GPO,它指定:
pipe理模板\ Windows资源pipe理器:
– 隐藏驱动器
– 防止从我的电脑访问驱动器
(如果networking资源分配给驱动器号)
pipe理模板\ Windows资源pipe理器:
– 在我的networking位置没有整个networking
– 删除映射networking驱动器和断开networking驱动器
pipe理模板\开始菜单和任务栏:
– 从“开始”菜单中删除“网上邻居”
– 从开始菜单中删除运行
pipe理模板\桌面:
– 删除我的网上邻居
这可能会让你开始。 可能有其他限制,你会想申请。