locked
遠端桌面連線限制問題請教 RRS feed

  • 問題

  • 請教各位先進:

    原設定GPO,將domain users群組加入本機Remote desktop users群姐中,目的為了讓所有user方便於公司內連線自己的PC.

    但是,發現以下資安問題:

    1.若PC開機且在未登入的狀況下,則任何人都可以登入任何人的PC.

    2.一旦登入後,除了個人profiles資料夾,任何資料夾與H.D分割區的資料,都可存取。

    請問:

    1.有辦法透過GPO,限制每個user僅可以遠端連線自己的PC嗎?

    2.如何讓資料夾權限,預設僅限建立者可以存取?

    2014年10月21日 上午 02:29

解答

  • Hi F.Y

    您的第一個需求,雖然可以透過GPO做到,但做法是每個PC都連結一條專屬的GPO,GPO內將這特定的User加入到Local的Remote Desktop users群組下,另外GPO沒有辦法直接套用到Computer上,所以還要各別建立每一部PC的OU再套用各別的GPO。

    這樣的方式並沒有比從Client加入各別使用者到Local的Remote Desktop users群組下來的簡單,因為GPO的管理套用最小是以OU為套用的單位,且AD並不知道您的使用者個人的電腦是哪一部。

    就內部控管的角度來說,這個功能應該不是每個人都需要開啟使用,讓有需要的使用者透過申請,再加權限到Local的Remote Desktop users群組下才是比較好控管的方式。

    第二個問題預設權限都有everyone的權限,如果要讓其他人無法存取,就需要將NTFS的Everyone權限移除,同樣這個操作也沒有辦法GPO來執行,必須在各別電腦做操作。


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    • 已標示為解答 F.Y 2014年10月22日 上午 03:58
    2014年10月22日 上午 03:45