終端伺服器檔案複製。 客戶使用Windows Server 2008終端服務,所有使用者都是採用遠端桌面連線到伺服器上進行操作,是否可以設定禁止使用者將終端伺服器上的檔案複製到客戶端計算機上,
由於使用者是採用遠端桌面的方式連線到伺服器上進行操作,如果他直接在位址列輸入\\ip地址,那就可以訪問到客戶端計算機然後把檔案複製到客戶端計算機,這個能限制嗎?
回答: 根據您描述,您想知道如何禁止使用者將檔案從終端伺服器複製到本地上。按照您的要求,我們可以通過下面的幾個方法來實現:
方法一、通過禁用對映的方法實現
- 開啟終端服務配置,找到連結->RDP-tcp->客戶端設定
- 禁用如下這些:
- 驅動對映
- 剪下板對映
方法二、通過組策略禁用重定向的方法實現
- 開啟組策略編輯器,找到計算機配置\策略\管理模板\windows元件\終端服務\終端伺服器\裝置和資源重定向
- 在這裡面啟用您所想啟用的任何功能。
方法三、通過登錄檔禁用重定向方法實現
如果您並不能管理終端服務,您可以通過在客戶端下新增如下這些登錄檔鍵值來禁用重定向:您看到的文章來自活動目錄seo http://adirectory.blog.com/category/system-network-administration/
- 找到HKLM\SOFTWARE\Microsoft\Terminal Server Client
- 新增如下三個鍵:
- “DisableDriveRedirection”=dword:00000001
- “DisableClipboardRedirection”=dword:00000001
- “DisablePrinterRedirection”=dword:00000001
- HKLM\Software\Microsoft\Terminal Server Client\Default\AddIns\RDPDR\
- “DisableDeviceRedirection”=dword:00000001
方法三、限制通過IP訪問的方式複製檔案。
事實上我們並沒有很直接的辦法來實現我們這個目的。然而,我們可以通過block某些型別的網路流量來實現限制使用者訪問類似共享檔案,telnet等等這樣的動作。我們可以通過IPsec來實現。
例如,資料夾共享會使用TCP 445 和 TCP139這兩個埠,所以我們可以禁止下面這些流量:
- 禁止:終端服務 至 使用者工作站 445 埠的流量
- 禁止:終端服務 至 使用者工作站 139 埠的流量
注意:使用了上面的設定,終端使用者仍然是能夠訪問終端服務上的共享資料夾的。如果我們需要同樣需要禁止這種流量,那麼我們就需要定義下面這些策略:
- 禁止:使用者工作站至終端服務445 埠的流量
- 禁止:使用者工作站至終端服務139 埠的流量
同樣,我們可以通過禁用如Telnet或FTP的流量:
- 禁止:終端服務 至 使用者工作站 21 埠(FTP控制通道)的流量
- 禁止:終端服務 至 使用者工作站 23 (telnet)埠的流量
但使用IPsec存在著一些限制:
- 當定義IPsec策略的時候,我們必須提供所有客戶端的IP地址。我們也同時需要提供像 192.168.0.0/255.255.255.0 這樣的子網地址。但我們需要建立一些例外規則來允許到某些主機如DC上的流量。例如,所有的域成員伺服器應該能夠訪問DC的共享資料夾,所以我們必須允許這樣的流量能到DC上。
- 通常來說,IPsec策略應該是像下面這個樣子的:
- A)阻止所有從終端服務到客戶端子網上445和139埠的所有流量
- B)阻止所有我們想要的阻止的其他流量
- C)允許終端服務到特定主機(如DC,檔案伺服器或一些其他機器)的流量
方法四、可以直接配置2008的高階防火牆策略實現,
即通過防火牆,也可以達到block某些型別的網路流量來實現我們的目的。但還是要考慮到我們之前所討論的一些限制。
朱一峰 微軟全球技術支援中心
禁止從終端伺服器複製檔案的相關文章請參看
原文地址:http://adirectory.blog.com/2012/12/disable-copy-file-from-terminal-server/