原文：?http://adirectory.blog.com/2012/12/disable-copy-file-from-terminal-server/

終端服務(wù)器文件復(fù)制。 客戶使用Windows Server 2008終端服務(wù)，所有用戶都是采用遠程桌面連接到服務(wù)器上進行操作，是否可以設(shè)置禁止用戶將終端服務(wù)器上的文件復(fù)制到客戶端計算機上，

由于用戶是采用遠程桌面的方式連接到服務(wù)器上進行操作，如果他直接在地址欄輸入\\ip地址，那就可以訪問到客戶端計算機然后把文件復(fù)制到客戶端計算機，這個能限制嗎？ ? 回答：?根據(jù)您描述，您想知道如何禁止用戶將文件從終端服務(wù)器復(fù)制到本地上。按照您的要求，我們可以通過下面的幾個方法來實現(xiàn)：

方法一、通過禁用映射的方法實現(xiàn)

打開終端服務(wù)配置，找到鏈接->RDP-tcp->客戶端設(shè)置

禁用如下這些：

• 驅(qū)動映射
• 剪切板映射

方法二、通過組策略禁用重定向的方法實現(xiàn)

打開組策略編輯器，找到計算機配置\策略\管理模板\windows組件\終端服務(wù)\終端服務(wù)器\設(shè)備和資源重定向

在這里面啟用您所想啟用的任何功能。

方法三、通過注冊表禁用重定向方法實現(xiàn)

如果您并不能管理終端服務(wù)，您可以通過在客戶端下添加如下這些注冊表鍵值來禁用重定向：您看到的文章來自活動目錄seo?http://adirectory.blog.com/category/system-network-administration/

找到HKLM\SOFTWARE\Microsoft\Terminal Server Client

添加如下三個鍵：

• “DisableDriveRedirection”=dword:00000001
• “DisableClipboardRedirection”=dword:00000001
• “DisablePrinterRedirection”=dword:00000001

或者禁用所有的重定向：

• HKLM\Software\Microsoft\Terminal Server Client\Default\AddIns\RDPDR\
• “DisableDeviceRedirection”=dword:00000001

方法三、限制通過IP訪問的方式復(fù)制文件。?

事實上我們并沒有很直接的辦法來實現(xiàn)我們這個目的。然而，我們可以通過block某些類型的網(wǎng)絡(luò)流量來實現(xiàn)限制用戶訪問類似共享文件，telnet等等這樣的動作。我們可以通過IPsec來實現(xiàn)。

例如，文件夾共享會使用TCP 445 和 TCP139這兩個端口，所以我們可以禁止下面這些流量：

• 禁止：終端服務(wù) 至 用戶工作站 445 端口的流量
• 禁止：終端服務(wù) 至 用戶工作站 139 端口的流量

注意：使用了上面的設(shè)置，終端用戶仍然是能夠訪問終端服務(wù)上的共享文件夾的。如果我們需要同樣需要禁止這種流量，那么我們就需要定義下面這些策略：

• 禁止：用戶工作站至終端服務(wù)445 端口的流量
• 禁止：用戶工作站至終端服務(wù)139 端口的流量

同樣，我們可以通過禁用如Telnet或FTP的流量：

• 禁止：終端服務(wù) 至 用戶工作站 21 端口（FTP控制通道）的流量
• 禁止：終端服務(wù) 至 用戶工作站 23 （telnet）端口的流量

但使用IPsec存在著一些限制：

當(dāng)定義IPsec策略的時候，我們必須提供所有客戶端的IP地址。我們也同時需要提供像 192.168.0.0/255.255.255.0 這樣的子網(wǎng)地址。但我們需要建立一些例外規(guī)則來允許到某些主機如DC上的流量。例如，所有的域成員服務(wù)器應(yīng)該能夠訪問DC的共享文件夾，所以我們必須允許這樣的流量能到DC上。

• 通常來說，IPsec策略應(yīng)該是像下面這個樣子的：
• A）阻止所有從終端服務(wù)到客戶端子網(wǎng)上445和139端口的所有流量
• B）阻止所有我們想要的阻止的其他流量
• C）允許終端服務(wù)到特定主機（如DC，文件服務(wù)器或一些其他機器）的流量

IPsec策略是基于計算機IP地址的，并且會應(yīng)用到所有的用戶。這就意味著終端服務(wù)上的所有用戶都會得到相同的結(jié)果。在應(yīng)用這個IPsec策略后不僅普通用戶將不能訪問工作站上的共享文件夾，而且域管理員也不能訪問了。

終端用戶仍然可能找到其他方法來把文件下載到自己的機器上。例如，他們可以把文件復(fù)制到一個沒有應(yīng)用該IPsec策略主機的臨時文件夾中（假設(shè)他們在那臺機子上有權(quán)限），然后把這些文件從臨時文件夾再復(fù)制到自己的機子上來。或者可能通過某些可以通過80端口來傳輸文件的應(yīng)用程序。

方法四、可以直接配置2008的高級防火墻策略實現(xiàn)，?

即通過防火墻，也可以達到block某些類型的網(wǎng)絡(luò)流量來實現(xiàn)我們的目的。但還是要考慮到我們之前所討論的一些限制。

朱一峰 ??微軟全球技術(shù)支持中心

?

禁止從終端服務(wù)器復(fù)制文件的相關(guān)文章請參看

2008 R2終端服務(wù)器?

windows 2008終端服務(wù)手機終端訪問?

windows 2008終端服務(wù)器設(shè)置?

自動斷開終端服務(wù)器不活動連接?

限制登錄終端服務(wù)器?

終端服務(wù)用戶使用不同應(yīng)用程序?

??

終端服務(wù)連接故障分析??

終端服務(wù)器系統(tǒng)盤清理??

終端服務(wù)連接故障分析?

終端服務(wù)RDP帶寬占用?

??

終端服務(wù)授權(quán)?

終端服務(wù)器授權(quán)?

終端服務(wù)器授權(quán)升級

不允許使用保存的憑據(jù)登錄??

?

遠程桌面連不上?

遠程桌面授權(quán)

遠程桌面:授權(quán)協(xié)議中的一個錯誤?

終端服務(wù)連接故障分析?

總結(jié)

以上是生活随笔為你收集整理的禁止从终端服务器复制文件的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。