Impede o acesso a documentos do usuário para usuários que efetuam login no servidor de terminal

Navegue suas respostas
2

Sou relativamente novo na administração de servidores, mas fui encarregado da tarefa de trabalhar com acesso remoto à rede da empresa.

O plano geral é conectar através de uma VPN a um servidor de terminal conectado à rede.

Os usuários se conectarão à rede em uma sessão RDP que será configurada para evitar que os arquivos sejam retirados da rede e movidos para máquinas remotas.

Há duas coisas que preciso descobrir para que isso funcione:

  1. Os usuários remotos precisam fazer o login no servidor de terminal usando seus logons de domínio (configuração com perfis de roaming), mas eles não podem ter acesso ao documentos que eles normalmente usam ao efetuar login localmente. Eles deveriam ser capaz de salvar um conjunto diferente de documentos em seu servidor de terminal logon.

  2. Existem pastas compartilhadas que também estão localizadas no servidor do controlador de domínio. Quando um usuário faz logon remotamente, ele não pode ter acesso a esses arquivos.

Basicamente, queremos limitar os usuários a alguns aplicativos de negócios instalados no servidor de terminal. Também queremos que eles criem e salvem documentos na sessão RDP (como o MS Word eo Excel) enquanto estão no ar. estrada. E não queremos que eles acessem seus arquivos de trabalho locais da estrada.

O servidor de terminal está executando o MS Server 2008.

O controlador de domínio (que também é o servidor de arquivos) está executando o Server 2000.

Existe um switch Cisco 3550 que ficará entre o Terminal Server e o Domain Controller / File Server. Então, um pensamento era usar o switch para impedir o acesso aos arquivos compartilhados, que resolveria o número 2 acima. Mas eu não acho que posso usar a mesma técnica para impedir o acesso a documentos de perfil de usuário.

Existe algum tipo de configuração de política de grupo que pode ser feita para configurá-lo?

Ainda não tenho nada configurado no servidor de terminal, por isso não posso testar muito. Eu precisava dar algum tipo de proposta sensata para os dois pontos acima para avançar e completar a configuração.

    
por Geronimo 17.07.2012 / 02:58

1 resposta

5

Isto parece ser um requisito de negócio bastante bobo. Mas você não está aqui procurando por opiniões. Então, para sugestões.

O principal problema é que você está essencialmente tentando dar acesso condicional ao mesmo conjunto de usuários do Windows. Não há realmente nenhuma boa maneira de fazer o que você quer. Um usuário tem permissões para um compartilhamento de arquivo ou não. Como você disse, o uso criativo de regras de firewall impedirá o tráfego do Terminal Server para o servidor de arquivos. E, como você não deseja que os usuários usem arquivos armazenados em seu perfil de roaming, por que não apenas desativar os perfis de roaming para esse servidor também?

A outra opção que parece mais um compromisso é usar a diretiva de grupo para desabilitar todos os recursos do RDP no Terminal Server que normalmente permitiria uma fácil extração de dados (redirecionamento de unidade, redirecionamento de área de transferência, redirecionamento de impressora etc.). Isso ainda dá às pessoas acesso útil aos seus documentos de rede, mas basicamente limita os recursos de exportação de dados para as capturas de tela no lado do cliente. Contanto que os dados que você está tentando proteger não sejam facilmente analisáveis a partir de uma captura de tela, você é de ouro.

Ah, e não se esqueça de negar o acesso à Internet do Terminal Server também. Há muitos lugares na nuvem para copiar dados para os usuários que podem acessar sem direitos de administrador.

    
por 17.07.2012 / 06:35

Tags

Como você escolhe a instância do EC2 para seu aplicativo django? [duplicado] Mover do ColdFusion 8 para o ColdFusion 10 - Falha na migração