終端服務器文件復制。 客戶使用Windows Server 2008終端服務,所有用戶都是采用遠程桌面連接到服務器上進行操作,是否可以設置禁止用戶將終端服務器上的文件復制到客戶端計算機上,
由於用戶是采用遠程桌面的方式連接到服務器上進行操作,如果他直接在地址欄輸入\\ip地址,那就可以訪問到客戶端計算機然后把文件復制到客戶端計算機,這個能限制嗎?
回答: 根據您描述,您想知道如何禁止用戶將文件從終端服務器復制到本地上。按照您的要求,我們可以通過下面的幾個方法來實現:
方法一、通過禁用映射的方法實現
- 打開終端服務配置,找到鏈接->RDP-tcp->客戶端設置
- 禁用如下這些:
- 驅動映射
- 剪切板映射
方法二、通過組策略禁用重定向的方法實現
- 打開組策略編輯器,找到計算機配置\策略\管理模板\windows組件\終端服務\終端服務器\設備和資源重定向
- 在這里面啟用您所想啟用的任何功能。
方法三、通過注冊表禁用重定向方法實現
如果您並不能管理終端服務,您可以通過在客戶端下添加如下這些注冊表鍵值來禁用重定向:您看到的文章來自活動目錄seo http://adirectory.blog.com/category/system-network-administration/
- 找到HKLM\SOFTWARE\Microsoft\Terminal Server Client
- 添加如下三個鍵:
- “DisableDriveRedirection”=dword:00000001
- “DisableClipboardRedirection”=dword:00000001
- “DisablePrinterRedirection”=dword:00000001
- 或者禁用所有的重定向:
- HKLM\Software\Microsoft\Terminal Server Client\Default\AddIns\RDPDR\
- “DisableDeviceRedirection”=dword:00000001
方法三、限制通過IP訪問的方式復制文件。
事實上我們並沒有很直接的辦法來實現我們這個目的。然而,我們可以通過block某些類型的網絡流量來實現限制用戶訪問類似共享文件,telnet等等這樣的動作。我們可以通過IPsec來實現。
例如,文件夾共享會使用TCP 445 和 TCP139這兩個端口,所以我們可以禁止下面這些流量:
- 禁止:終端服務 至 用戶工作站 445 端口的流量
- 禁止:終端服務 至 用戶工作站 139 端口的流量
注意:使用了上面的設置,終端用戶仍然是能夠訪問終端服務上的共享文件夾的。如果我們需要同樣需要禁止這種流量,那么我們就需要定義下面這些策略:
- 禁止:用戶工作站至終端服務445 端口的流量
- 禁止:用戶工作站至終端服務139 端口的流量
同樣,我們可以通過禁用如Telnet或FTP的流量:
- 禁止:終端服務 至 用戶工作站 21 端口(FTP控制通道)的流量
- 禁止:終端服務 至 用戶工作站 23 (telnet)端口的流量
但使用IPsec存在着一些限制:
- 當定義IPsec策略的時候,我們必須提供所有客戶端的IP地址。我們也同時需要提供像 192.168.0.0/255.255.255.0 這樣的子網地址。但我們需要建立一些例外規則來允許到某些主機如DC上的流量。例如,所有的域成員服務器應該能夠訪問DC的共享文件夾,所以我們必須允許這樣的流量能到DC上。
- 通常來說,IPsec策略應該是像下面這個樣子的:
- A)阻止所有從終端服務到客戶端子網上445和139端口的所有流量
- B)阻止所有我們想要的阻止的其他流量
- C)允許終端服務到特定主機(如DC,文件服務器或一些其他機器)的流量
- IPsec策略是基於計算機IP地址的,並且會應用到所有的用戶。這就意味着終端服務上的所有用戶都會得到相同的結果。在應用這個IPsec策略后不僅普通用戶將不能訪問工作站上的共享文件夾,而且域管理員也不能訪問了。
- 終端用戶仍然可能找到其他方法來把文件下載到自己的機器上。例如,他們可以把文件復制到一個沒有應用該IPsec策略主機的臨時文件夾中(假設他們在那台機子上有權限),然后把這些文件從臨時文件夾再復制到自己的機子上來。或者可能通過某些可以通過80端口來傳輸文件的應用程序。
方法四、可以直接配置2008的高級防火牆策略實現,
即通過防火牆,也可以達到block某些類型的網絡流量來實現我們的目的。但還是要考慮到我們之前所討論的一些限制。
朱一峰 微軟全球技術支持中心
禁止從終端服務器復制文件的相關文章請參看
原文地址:http://adirectory.blog.com/2012/12/disable-copy-file-from-terminal-server/