Я новичок в администрировании серверов, но мне было поручено разработать удаленный доступ к сети компании.
Общий план заключается в подключении через VPN к терминальному серверу, подключенному к сети.
Затем пользователи будут подключаться к сети в сеансе RDP, который мы настроим, чтобы файлы не удалялись из сети и перемещались на удаленные машины.
Однако есть две вещи, которые мне нужно выяснить, чтобы это сработало:
Удаленные пользователи должны иметь возможность входить на сервер терминалов, используя свои доменные учетные записи (настройка с перемещаемыми профилями), но они не могут иметь доступа к документам, которые они обычно используют при локальном входе в систему. Они должны иметь возможность сохранять другой набор документов при входе в систему на сервере терминалов.
Есть общие папки, которые также находятся на сервере контроллера домена. Когда пользователь входит в систему удаленно, он не может получить доступ к этим файлам.
По сути, мы хотим ограничить пользователей несколькими бизнес-приложениями, установленными на сервере терминалов, мы также хотим, чтобы они могли создавать и сохранять документы в сеансе RDP (например, MS Word и Excel), пока они находятся в пути. И мы не хотим, чтобы они получали доступ к своим локальным рабочим файлам с дороги.
Терминальный сервер работает под управлением MS Server 2008.
Контроллер домена (который также является файловым сервером) работает под управлением Server 2000.
Между сервером терминалов и контроллером домена / файловым сервером находится коммутатор Cisco 3550. Итак, одна мысль заключалась в том, чтобы использовать переключатель для предотвращения доступа к общим файлам, что решило бы # 2 выше. Но я не думаю, что могу использовать ту же технику для предотвращения доступа к документам профиля пользователя.
Есть ли какой-то параметр групповой политики, который можно сделать для этого?
У меня еще ничего не настроено на стороне терминального сервера, поэтому я не могу много тестировать. Мне нужно было дать какое-то разумное предложение по двум вышеперечисленным пунктам, чтобы развернуться и завершить настройку.
Это кажется довольно глупым бизнес-требованием. Но вы здесь не ищете мнения. Итак, к предложениям.
Основная проблема заключается в том, что вы, по сути, пытаетесь предоставить условный доступ одному и тому же набору пользователей домена Windows. На самом деле нет хорошего способа делать то, что ты хочешь. У пользователя либо есть разрешения на доступ к файловому ресурсу, либо нет. Как вы сказали, творческое использование правил брандмауэра предотвратит трафик с сервера терминалов на файловый сервер. И поскольку вы не хотите, чтобы пользователи использовали файлы, хранящиеся в их перемещаемом профиле, почему бы просто не отключить перемещаемые профили для этого сервера.
Другой вариант, который кажется более компромиссным, - это использование групповой политики для отключения всех функций RDP на сервере терминалов, которые обычно позволяют легко извлекать данные (перенаправление диска, перенаправление буфера обмена, перенаправление принтера и т. Д.). Это по-прежнему дает людям полезный доступ к их сетевым документам, но в основном ограничивает возможности экспорта данных снимками экрана на стороне клиента. Пока данные, которые вы пытаетесь защитить, нелегко проанализировать с помощью снимка экрана, вы - золотой.
Да, и не забудьте также запретить доступ в Интернет с терминального сервера. В облаке есть множество мест для копирования данных, к которым пользователи могут получить доступ без прав администратора.