Есть ли способ позволить терминальным службам сделать некоторую «абстракцию» над физическими сетевыми интерфейсами сервера, чтобы ими можно было управлять через gpo, чтобы предоставлять или запрещать доступ для разных пользователей?
основная идея состоит в том, чтобы иметь 2 сетевых интерфейса (пользовательский и сервер / управление) и не позволять пользователям в терминальных сессиях получать доступ к серверу / сети управления.
или это просто невозможно? что было бы лучше сделать это?
То, что вы ищете, - это не столько абстракция, сколько решение брандмауэра на основе пользовательских токенов, которое позволит вам изолировать / фильтровать трафик от процессов, запущенных конкретными пользователями. Это как минимум не выполняется брандмауэром Windows, тем не менее, могут быть работающие сторонние решения.
Вероятно, лучшим подходом к безопасности было бы не смешивать пользовательскую и административную инфраструктуру и вместо этого предоставить администраторам собственный терминальный сервер, закрытый для пользователей.