Пользователи Office получают доступ к серверу win2003 из офиса с помощью тонких клиентов и терминальных служб. При просмотре настроек безопасности кажется, что по умолчанию все пользователи в группе «Пользователи удаленного рабочего стола» могут получить доступ к серверу извне офиса, например, из дома.
Мы хотим, чтобы по умолчанию большинство пользователей могли получить доступ к серверу только из офиса, с другой группой пользователей для тех немногих, кому действительно нужен внешний доступ.
Вы можете заблокировать внешний порт 3389 на своем брандмауэре и потребовать от пользователей, которым вы хотите иметь возможность удаленно подключаться, использовать VPN-соединение. Это обеспечивает два уровня безопасности, и только пользователи, которым вы хотите иметь доступ извне, получат учетную запись VPN. После подключения к VPN они могли просто использовать клиент RDP для подключения к серверу терминалов.