我遇到了一个问题:用户通过远程桌面连接到我们的terminal服务器,然后从它创build到另一个服务器的VPN连接,然后改变networking,并停止所有远程桌面到服务器的能力。
我们希望能够从Windows 2008 R2terminal服务器中移除标准用户创build或连接VPN连接的能力,为此我们创build了本应该这样做的GPO(用户configuration\pipe理模板\networking\networking连接),但用户仍然可以创build连接:(环回处理已启用,并且RSoP显示应用于该服务器上的用户的策略,所以…
作为一个临时的解决方法,我已经设置IP助手服务(似乎是启动VPN连接,或者至less要做本地路由修改)启动types“禁用”。 对于我们在服务器上需要的任何其他东西,似乎并不需要,尽pipe我对这项服务不够了解。
我在做什么明显错误? 有没有人有什么好的build议,我怎么能做到这一点? 或者是我出于某种原因试图做错什么?
这可能看起来很严重,但是,如果他们不需要访问控制面板,我build议禁用用户访问整个控制面板。 我在2003terminal服务器上使用这个(是的,我知道,不是相同的版本)。 基本上这可以防止用户对机器进行任何更改。 赔率是,他们可能不需要反正,只是扼杀terminal服务器。
用户/策略/控制面板/禁止访问控制面板
虽然我不知道这是否会在你的情况下工作,因为它是由RDP在用户需要多less访问口授。
此外,如果用户是pipe理员,则会有GP将覆盖TCP / IP高级设置。 您可能需要检查并确保用户没有使自己的本地pipe理员。 他们可能会以这种方式压倒政策。
当用户创buildVPN连接时,他们是否解除configuration在远程networking中使用默认网关 。 如果您没有解决这个问题,那么远程服务器上的所有stream量都将通过VPN站点的网关,从而导致远程桌面失败。
你可以改变它
- 右键单击VPN连接,属性
- 在“networking”选项卡中,selectIPv4,属性
- 单击高级,取消选中“在远程networking中使用默认网关”