Что мне нужно сделать: С одним логином, когда пользователь физически находится в здании, мне нужно, чтобы он все видел. Когда они используют службы терминалов с одним и тем же логином, они не должны видеть файловую систему в сети. Я могу заблокировать компьютер, на котором запущены терминальные службы, поскольку это единственное его предназначение.
Подробности:
Windows / 2003 Server с терминальными службами.
Один логин для пользователя (например, johndoe).
Когда johndoe входит в сеть за своим рабочим столом в офисе, он может видеть сетевые файлы в соответствии с групповой политикой.
Когда johndoe входит в службы терминалов извне здания, мы не хотим, чтобы он видел сеть. Использование 2x для опубликования приложения, но у этого приложения есть «функция», которая позволяет пользователю видеть сеть.
Опубликованное приложение на termina services (только) - это система управления документами, привязанная к входу в Windows, поэтому я не могу дать им два входа.
С одним логином, когда они находятся в здании, мне нужно, чтобы они все видели. Когда они используют терминальные службы, они не должны видеть сеть. Я могу заблокировать компьютер, на котором запущены службы терминалов, поскольку это единственное его предназначение.
Вопрос пока недостаточно ясен.
Пользователь входит в терминальный сервер, когда находится в офисе И при работе удаленно? Или просто при удаленной работе?
Если пользователь входит в службы терминалов только удаленно, решение состоит в применении политика обратной связи применяется к вашему терминальному сервису OU. Затем ответ Грега содержит параметры политики, которые вы хотите применить в этом GPO.
С другой стороны, если ваш пользователь входит на сервер терминалов как удаленно, так и находясь в офисе, и должен делать это с одной и той же учетной записью, вы попадаете в целую опасность. Я не думаю, что для вас есть поддерживаемая конфигурация, если это так, без неприятных хаков. Возможно, стоит взглянуть на создание сайт в AD для ваших VPN-клиентов, а затем примените политику к этому сайту, чтобы ограничить просмотр сети, но я не думаю, что это применимо, если пользователь подключается к терминальному серверу. Тем не менее, это единственный способ, который, как я вижу, может привести к нужным результатам.
Я считаю, что вы хотите использовать объект групповой политики, связанный с сервером терминалов, который указывает:
Административные шаблоны \ Проводник Windows:
- Скрыть диски
- Запретить доступ к дискам с моего компьютера
(Если сетевые ресурсы назначены буквам дисков)
Административные шаблоны \ Проводник Windows:
- Нет всей сети в моем сетевом окружении
- Удалить сетевой диск карты и отключить сетевой диск
Административные шаблоны \ Меню "Пуск" и панель задач:
- Удалить "Сетевое окружение" из меню "Пуск"
- Удалить Run из меню "Пуск"
Административные шаблоны \ Рабочий стол:
- Удалить мое сетевое окружение
Это, вероятно, поможет вам начать. Возможно, вы захотите применить другие ограничения.