有没有办法阻止用户启动和使用远程桌面,并限制只有本地pipe理员或域pipe理员?
原因是我们不希望用户远程桌面回家,但同时我们希望它可以为特定用户(如pipe理员或高级用户)提供。
理想情况下,可以为可从其计算机访问远程桌面应用程序的组或用户设置组策略。
说明:我需要机器能够仍然有远程桌面工作,只有一个特定的用户或组。 关键是我们允许某些用户使用远程桌面和其他人无法访问它。 有多个用户的机器,所以我们不能阻止整个机器或IP。
这需要按用户帐户或login进行。
你为什么select远程桌面? 为什么不包括VNC,GoToMyPC等?
真的没有傻瓜的方法来做到这一点。 如果你尽可能地阻止,你将不得不做很多工作。
你可以设置你的防火墙来阻止除你所说明的许可之外的任何东西,然后只允许你控制的东西。 给你的pipe理员一些在防火墙周围暂时打开漏洞或vpn的方法。 您不能简单地阻止您的用户的公共端口,因为用户可以简单地设置某种VPN /隧道。
或者,您可以使用工具在您的机器上构build所有允许的应用程序的白名单,并阻止其他所有应用程序。
远程桌面使用特定的端口或协议,我相信。 您可以将此端口限制在防火墙或networking级别上 – 只针对特定的IP地址。
将MSTSC.exe上的GPO权限更改为只有pipe理员组权限才能“执行”
您需要组策略的“软件限制”部分。 这里有一个很好的概述http://technet.microsoft.com/en-us/library/bb457006.aspx 。 我没有太多的工作,所以我不知道具体情况,但你可以通过许多不同的标准阻止应用程序,“跳过pipe理员”选项允许pipe理员做任何他们想要的。
如上所述,处理这种情况最简单的方法是通过组策略。 这将允许pipe理员仍然从本地机器使用远程桌面。 至于VNC / Logmein / Gotomypc,再次使用组策略来禁止用户在他们的机器上安装软件。 这可能是一个IT麻烦,但如果你正在寻找locking,这是最简单的方法。
如果您不使用域或组策略,只需让用户成为常规用户或高级用户,而不是pipe理员。
澄清问题:这是由IT安全或性能(带宽等)问题驱动的,还是担心员工使用家庭计算机窃取公司时间?
如果第一个问题,那么正如其他海报已经提到有一些解决方法 – GoToMyPC例如使用HTTP协议。 这假定你的用户受过足够的教育来实现这些改变。
如果第二,那么你应该考虑一些商业级的解决scheme。 如果您能够监控员工的电脑或networking活动,那么您的公司只需要对犯罪者实施某种forms的惩罚 – 威胁到罚款,减薪或更糟的情况。
从http://community.spiceworks.com/topic/104009 :
如果您需要将域用户添加到XP计算机上的远程桌面用户组,则需要在GPO中使用受限制的组…
它是在计算机configuration/ Windows设置/安全设置/限制组。 右键单击,添加组,单击浏览以查找域用户。 单击确定,然后单击添加此组是…的成员…键入远程桌面用户。
对我来说工作得很好(当然是在Windows Server 2008 R2域中)。 更新:对,这只会给本地计算机上的域用户提供访问权限
这将工作。 对不起,我误解了这个问题。