我正在寻找一些常规设置的方向来configurationterminal服务服务器组策略。 它运行Server 2003 Standard,同时容纳约20人。
显然,你可以得到非常细化和限制,但我正在寻找一个良好的通用基线,以平衡安全性和可用性。 我会根据需要调整。
我的一般要求是:
通过让用户使用非特权帐户运行,您将获得绝大多数所需。 如果让用户使用terminal服务器上的“pipe理员”帐户运行,则要求立即销毁该框。 (此外,用户甚至不必使用台式电脑进行日常的“pipe理员”工作,terminal服务器电脑只是一个大型的多头电脑,与台式电脑相比, 。)
除此之外,它看起来像你要文件夹redirect到“我的文档”(可能是“桌面”和“应用程序数据”文件夹)到你想要存储用户数据的服务器上。 你不能阻止用户能够保存到每个用户的“Temp”目录下或在他们的用户configuration文件下(不打破操作系统如何工作)。 文件夹redirect和用户教育是你的朋友。 然而,没有“pipe理员”权限将会严重限制用户可以存储文件的地方数量,并且更有可能将文件保存在正确的位置。
一般情况下,我使用在环回策略处理“replace”模式中设置的组策略对象,将其应用于具有terminal服务器计算机的OU。 (这是组策略环回策略处理的一个很好的应用 – 你应该阅读它。)
我使用我想要应用于terminal服务器用户的所有每个用户设置(通常是Microsoft Office自定义,文件夹redirect,微调Windows外观等)来填充该回送GPO。
如果你有多个terminal服务器,我build议为每个用户设置一个terminal服务漫游用户configuration文件(到一个不同于其常规Windows漫游用户configuration文件的位置),以便他们的terminal服务环境在不同的terminal服务器机器之间“跟随” 。
编辑:
如果您决定要限制允许用户运行的程序,build议您查看“软件限制策略”(请参阅http://technet.microsoft.com/zh-cn/library/bb457006)。 aspx )。 除了存储在特定path中的应用程序(不允许用户写入“\ Program Files …”,“\ Windows”等)或具有特定数字的用户不能执行应用程序签名。 如果有人下载EXE到他们的%TEMP%目录(他们被允许写入的地方),他们会发现Windows不会执行它。
我会考虑实施某种forms的重大申请限制。 防止他们办公室以外的任何东西,以及他们日常工作所需的东西。 即使他们被locking,以至于他们不能运行恶意软件,一个stream氓应用程序仍然可以消耗资源。
禁用壁纸; 这可能会影响性能。 除非有真正的需要去更高,否则强迫它到256种颜色。