Permissões de área de trabalho remota de onde eles fazem o login?

Usamos um script de login para verificar o nome do computador de conexão e, se ele não corresponder à lista, negaremos a conexão. Excluímos alguns usuários dessa verificação para que eles sempre possam se conectar, seja no escritório ou não. Então você simplesmente adiciona uma linha para cada computador do escritório (ou computador autorizado) e adiciona uma linha para cada usuário que você deseja excluir da verificação. Abaixo está uma amostra do script:

SE% USERNAME% == joeschmoe GOTO OK

SE% USERNAME% == janedoe GOTO OK

SE% CLIENTNAME% == OfficeComputer1 GOTO OK

SE% CLIENTNAME% == OfficeComputer2 GOTO OK

IF% CLIENTNAME% == OfficeComputer3 GOTO OK

REM A seguinte mensagem é exibida em computadores não autorizados a se conectar.

msg * Você não está autorizado a fazer login a partir deste local. Você será desconectado em 10 segundos.

dormir 10 LOGOFF

: OK SAIR

Considere investigar o IPSec que, se o entendi corretamente, pode ser usado para restringir o acesso com base em uma combinação de regras, incluindo localização de rede, identidade de máquina cliente (supondo que seja um membro do domínio) e credenciais de usuário. Portanto, você poderia, teoricamente, configurar uma diretiva IPsec, permitindo que apenas os administradores em determinados computadores acessem o RDP de fora da rede do escritório. Se você usar Políticas de Grupo, poderá aplicá-las facilmente a todos os servidores adicionais que desejar configurar da mesma maneira.

Configure um gateway de serviços de terminal. Você pode configurar políticas em diferentes grupos que podem acessar. Apenas permita o acesso através do gateway.

Não por permissões. Você pode usar o firewall do SO para negar o acesso à porta 3389 de todos os IPs externos e permitir apenas determinados IPs externos (se você os conhecer e forem estáticos). Outra opção seria negar todos os IPs externos em seu núcleo do FW e, em seguida, permitir somente o RDP se eles fizerem VPN em sua rede.