我必须通过RDP向匿名用户发布一个应用程序。 服务器是Windows 2008 R2,用户连接使用Ericom的WebConnect解决scheme进行处理。 这并没有太大的改变 – 对于terminal服务器来说,它仍然是一个正常的RDP连接。
Windows 2008 R2terminal服务器可以隔离同一用户的并行会话吗? 或者我必须把应用程序放在一个沙箱里?
为了使未知的访问者连接到应用程序,使用了一个名为visitor的通用Domain Guest用户帐户 。 为了允许每个服务器有多个并行会话,我禁用了设置将Restrict each user to a single session 。
我现在希望每个参观者都有一个新的会议。 具体来说:用户连接,configuration的应用程序启动,用户使用它,进行更改(保存到registry),closures应用程序和会话被丢弃。 我设置了一个组策略,以便用户只能通过Delete cached copies of roaming profiles和Prevent Roaming Profile changes from propagating to the server ,才能获得不会同步回漫游configuration文件的临时configuration文件。
只要一次只有一个visitor连接到服务器,以上工作就可以正常工作。 如果同时存在更多的用户,比如visitor #1和visitor #2 ,则主要问题会增加。 这些共享相同的环境 – 用户的registry等等。 所以这两个实例相互影响,这是不好的。
第二个问题是最近closures的连接可以由另一个用户恢复。 这一定是不可能的。 (我仍在寻找一种方法来防止这种情况,但这不是主要的问题,我们可能会禁止重新连接。)
在这种情况下安全性不是什么大问题。 但是我们要确保每个用户看到相同的。
谢谢
同一用户帐户的login之间没有安全隔离。 您将不得不创build多个用户帐户才能在用户login之间实现操作系统级的隔离。
实现结束断开会话的最佳方法是设置“设置断开会话的时间限制”策略设置。 我没有select,我知道这将立即结束断开terminal服务会话,但是这个设置将在他们断开1分钟内结束。