【轉】禁止從終端伺服器複製檔案

kalman發表於2014-01-25

終端伺服器檔案複製。 客戶使用Windows Server 2008終端服務,所有使用者都是採用遠端桌面連線到伺服器上進行操作,是否可以設定禁止使用者將終端伺服器上的檔案複製到客戶端計算機上,

由於使用者是採用遠端桌面的方式連線到伺服器上進行操作,如果他直接在位址列輸入\\ip地址,那就可以訪問到客戶端計算機然後把檔案複製到客戶端計算機,這個能限制嗎?
 
回答: 根據您描述,您想知道如何禁止使用者將檔案從終端伺服器複製到本地上。按照您的要求,我們可以通過下面的幾個方法來實現:

方法一、通過禁用對映的方法實現

  1. 開啟終端服務配置,找到連結->RDP-tcp->客戶端設定
  2. 禁用如下這些:
  • 驅動對映
  • 剪下板對映

方法二、通過組策略禁用重定向的方法實現

  1. 開啟組策略編輯器,找到計算機配置\策略\管理模板\windows元件\終端服務\終端伺服器\裝置和資源重定向
  2. 在這裡面啟用您所想啟用的任何功能。

方法三、通過登錄檔禁用重定向方法實現

如果您並不能管理終端服務,您可以通過在客戶端下新增如下這些登錄檔鍵值來禁用重定向:您看到的文章來自活動目錄seo http://adirectory.blog.com/category/system-network-administration/

  1. 找到HKLM\SOFTWARE\Microsoft\Terminal Server Client
  2. 新增如下三個鍵:
  • “DisableDriveRedirection”=dword:00000001
  • “DisableClipboardRedirection”=dword:00000001
  • “DisablePrinterRedirection”=dword:00000001
  • 或者禁用所有的重定向:
    • HKLM\Software\Microsoft\Terminal Server Client\Default\AddIns\RDPDR\
    • “DisableDeviceRedirection”=dword:00000001

    方法三、限制通過IP訪問的方式複製檔案。 

    事實上我們並沒有很直接的辦法來實現我們這個目的。然而,我們可以通過block某些型別的網路流量來實現限制使用者訪問類似共享檔案,telnet等等這樣的動作。我們可以通過IPsec來實現。

    例如,資料夾共享會使用TCP 445 和 TCP139這兩個埠,所以我們可以禁止下面這些流量:

    • 禁止:終端服務 至 使用者工作站 445 埠的流量
    • 禁止:終端服務 至 使用者工作站 139 埠的流量

    注意:使用了上面的設定,終端使用者仍然是能夠訪問終端服務上的共享資料夾的。如果我們需要同樣需要禁止這種流量,那麼我們就需要定義下面這些策略:

    • 禁止:使用者工作站至終端服務445 埠的流量
    • 禁止:使用者工作站至終端服務139 埠的流量

    同樣,我們可以通過禁用如Telnet或FTP的流量:

    • 禁止:終端服務 至 使用者工作站 21 埠(FTP控制通道)的流量
    • 禁止:終端服務 至 使用者工作站 23 (telnet)埠的流量

    但使用IPsec存在著一些限制:

    1. 當定義IPsec策略的時候,我們必須提供所有客戶端的IP地址。我們也同時需要提供像 192.168.0.0/255.255.255.0 這樣的子網地址。但我們需要建立一些例外規則來允許到某些主機如DC上的流量。例如,所有的域成員伺服器應該能夠訪問DC的共享資料夾,所以我們必須允許這樣的流量能到DC上。
    • 通常來說,IPsec策略應該是像下面這個樣子的:
    • A)阻止所有從終端服務到客戶端子網上445和139埠的所有流量
    • B)阻止所有我們想要的阻止的其他流量
    • C)允許終端服務到特定主機(如DC,檔案伺服器或一些其他機器)的流量
  • IPsec策略是基於計算機IP地址的,並且會應用到所有的使用者。這就意味著終端服務上的所有使用者都會得到相同的結果。在應用這個IPsec策略後不僅普通使用者將不能訪問工作站上的共享資料夾,而且域管理員也不能訪問了。
  • 終端使用者仍然可能找到其他方法來把檔案下載到自己的機器上。例如,他們可以把檔案複製到一個沒有應用該IPsec策略主機的臨時資料夾中(假設他們在那臺機子上有許可權),然後把這些檔案從臨時資料夾再複製到自己的機子上來。或者可能通過某些可以通過80埠來傳輸檔案的應用程式。
  • 方法四、可以直接配置2008的高階防火牆策略實現, 

    即通過防火牆,也可以達到block某些型別的網路流量來實現我們的目的。但還是要考慮到我們之前所討論的一些限制。

    朱一峰   微軟全球技術支援中心

     

    禁止從終端伺服器複製檔案的相關文章請參看

    2008 R2終端伺服器 

    windows 2008終端服務手機終端訪問 

    windows 2008終端伺服器設定 

    自動斷開終端伺服器不活動連線 

    限制登入終端伺服器 

    終端服務使用者使用不同應用程式 

      

    終端服務連線故障分析  

    終端伺服器系統盤清理  

    終端服務連線故障分析 

    終端服務RDP頻寬佔用 

      

    終端服務授權 

    終端伺服器授權 

    終端伺服器授權升級

    不允許使用儲存的憑據登入  

     

    遠端桌面連不上 

    遠端桌面授權

    遠端桌面:授權協議中的一個錯誤 

    終端服務連線故障分析 

     

    原文地址:http://adirectory.blog.com/2012/12/disable-copy-file-from-terminal-server/

    相關文章