我对pipe理服务器是相当陌生的,但是我负责完成远程访问公司networking的工作。
总的计划是通过VPN连接到连接到networking的terminal服务器。
然后,用户将在RDP会话中连接到networking,我们将configuration该会话以防止将文件从networking中移出并移到远程机器上。
有两件事我需要弄清楚这个工作,虽然:
远程用户需要能够使用其域login(使用漫游configuration文件设置)login到terminal服务器,但他们无法访问在本地login时通常使用的文档。 他们应该能够在他们的terminal服务器login上保存一组不同的文档。
共享文件夹也位于域控制器服务器上。 当用户远程login时,他们无法访问这些文件。
基本上,我们希望将用户限制为安装在terminal服务器上的一些业务应用程序,我们也希望他们能够在RDP会话(如MS Word和Excel)中创build和保存文档。 而且我们不希望他们从路上访问他们当地的工作文件。
terminal服务器正在运行MS Server 2008。
域控制器(也是文件服务器)正在运行Server 2000。
Cisco 3550交换机将位于terminal服务器和域控制器/文件服务器之间。 所以一个想法是使用交换机来阻止访问共享文件,这将解决上面的#2。 但我不认为我可以使用相同的技术来阻止访问用户configuration文件。
是否有某种可以设置的组策略设置?
我在terminal服务器端没有任何设置,所以我不能testing太多。 对于上述两点,我需要提出一些合理的build议来推进和完成设置。
这似乎是一个非常愚蠢的业务需求。 但是你不在这里寻找意见。 所以build议。
主要的问题是,你基本上试图给予相同的一组Windows域用户的条件访问。 真的没有什么好办法做你想做的事情。 用户要么拥有文件共享的权限,要么没有权限。 就像你说的那样,创造性地使用防火墙规则将阻止terminal服务器到文件服务器的stream量。 而且,由于您不希望用户使用漫游configuration文件中存储的文件,为什么不closures漫游configuration文件呢?
另一个看起来更像是妥协的select是使用组策略来禁用terminal服务器上的所有RDPfunction,这些function通常允许简单的数据提取(驱动器redirect,剪贴板redirect,打印机redirect等)。 这仍然给人们有用的访问他们的networking文件,但基本上限制了数据导出function在客户端屏幕捕获。 只要你试图保护的数据不能从屏幕截图中轻松parsing,你就是个好主意。
哦,不要忘记从terminal服务器拒绝互联网访问。 云中有很多地方可以将数据复制到用户无需pipe理员权限即可访问的地方。