Запретить доступ к пользовательским документам для пользователей, заходящих с терминального сервера
Я довольно новичок в администрировании серверов, но мне поручено разработать удаленный доступ к сети компании.
Общий план заключается в подключении через VPN к терминальному серверу, подключенному к сети.
Затем пользователи подключатся к сети в сеансе RDP, который мы настроим для предотвращения удаления файлов из сети и их перемещения на удаленные машины.
Есть две вещи, которые мне нужно выяснить, чтобы это работало, хотя:
Удаленные пользователи должны иметь возможность войти на сервер терминалов, используя свои доменные входы (настроенные с помощью перемещаемых профилей), но они не могут иметь доступ к документам, которые они обычно используют при локальном входе. Они должны иметь возможность сохранять другой набор документов при входе в систему на своем терминальном сервере.
Существуют общие папки, которые также находятся на сервере контроллера домена. Когда пользователь входит в систему удаленно, он не может получить доступ к этим файлам.
По сути, мы хотим ограничить пользователей несколькими бизнес-приложениями, установленными на сервере терминалов, мы также хотим, чтобы они могли создавать и сохранять документы в сеансе RDP (например, MS Word и Excel), пока они находятся в дороге. И мы не хотим, чтобы они получали доступ к своим локальным рабочим файлам с дороги.
Терминальный сервер работает под управлением MS Server 2008.
Контроллер домена (который также является файловым сервером) работает под управлением Server 2000.
Существует коммутатор Cisco 3550, который будет находиться между терминальным сервером и контроллером домена / файловым сервером. Поэтому одной из идей было использование переключателя для предотвращения доступа к общим файлам, что решило бы проблему № 2 выше. Но я не думаю, что смогу использовать ту же технику для предотвращения доступа к документам профиля пользователя.
Есть ли какой-то параметр групповой политики, который можно сделать, чтобы настроить это?
У меня еще ничего не настроено на терминальном сервере, поэтому я не могу много тестировать. Мне нужно было сделать какое-то разумное предложение для двух пунктов выше, чтобы продвинуться вперед и завершить настройку.
1 ответ
Это кажется довольно глупым бизнес-требованием. Но вы здесь не ищете мнения. Итак, к предложениям.
Основная проблема заключается в том, что вы, по сути, пытаетесь предоставить условный доступ одному и тому же набору пользователей домена Windows. Там действительно нет хорошего способа делать то, что вы хотите. Пользователь либо имеет разрешения на доступ к общей папке, либо они не имеют. Как вы сказали, творческое использование правил брандмауэра предотвратит трафик с сервера терминалов на файловый сервер. А поскольку вы не хотите, чтобы пользователи использовали файлы, хранящиеся в их перемещаемом профиле, почему бы просто не отключить перемещаемые профили и для этого сервера.
Другим вариантом, который кажется более компромиссным, является использование групповой политики для отключения всех функций RDP на сервере терминалов, которые обычно позволяют легко извлекать данные (перенаправление диска, перенаправление буфера обмена, перенаправление принтера и т. Д.). Это все еще дает людям полезный доступ к их сетевым документам, но в основном ограничивает возможности экспорта данных скриншотами на стороне клиента. До тех пор, пока данные, которые вы пытаетесь защитить, нелегко разобрать со скриншота, вы просто великолепны.
О, и не забудьте также запретить доступ в Интернет с сервера терминалов. В облаке есть много мест для копирования данных, к которым пользователи могут получить доступ без прав администратора.