none
求教2008 r2作为远程桌面主机,有20个远程用户,20个USB设备,如何为每个用户分配1个USB设备且不访问别人的设备 RRS feed

  • 问题

  • 这些USB摄像头不能靠RDP自身的重定向功能带过去,我是用usb for remote desktop这款远程桌面USB重定向软件带过去的,设备管理器里面可以看到所有用户带过去的设备,现在发现用户A带过去的摄像头用户B也能访问,请问能不能用策略控制他们只能访问自己的设备?

    • 已编辑 JUJU蟹 2012年7月20日 5:03 补充设备说明
    2012年7月20日 3:01

答案

  • 好吧,这已经超出我的理解范围了,我仅知道usb redirector ts这款软件可以做到用户设备隔离,可惜找不到注册码,俄罗斯人写的,不知道他是怎么实现的

    没明白哪里超出你的理解范围了。

    procmon是sysinternal的知名工具,微软技术支持在为客户做Troubleshooting时都经常用这工具去抓信息呢,就算你以前不知道,那你现在至少也该知晓一下这个工具。因为它实在太实用了,特别在摸索系统行为时。。。

    另外,你所要做的,就是访问控制,在Windows下做逻辑实体的访问控制,无非就是对Object做ACL,就像NTFS权限一样。


    2012年7月20日 7:10

全部回复

  • 能不能把你的问题简化成这样:

    A用户远程桌面到你的Server并带上了他的USB设备(可能是个磁盘,MASS Storage Device)

    然后B用户也远程桌面到你的Server,B用户可以访问A的USB盘。

    你希望要做的就是:禁止任何人(例如B)访问非自己带上去的U盘(例如A带的U盘)?


    • 已编辑 Finy 2012年7月20日 4:33
    2012年7月20日 4:32
  • 奇了怪了,我试了一下带了个U盘RDP上一台08,然后用另一个帐号再RDP上去,并看不到前者带上的U盘啊。。。

    看样,你那问题是“usb for remote desktop这款远程桌面USB重定向软件”这玩意特有的Feature吧。。。

    • 已编辑 Finy 2012年7月20日 4:42
    2012年7月20日 4:41
  • 奇了怪了,我试了一下带了个U盘RDP上一台08,然后用另一个帐号再RDP上去,并看不到前者带上的U盘啊。。。

    看样,你那问题是“usb for remote desktop这款远程桌面USB重定向软件”这玩意特有的Feature吧。。。

    不是U盘,是个USB摄像头,RDP的即插即设备没办法带过去,只能使用USB重定向辅助工具带过去,或者remoteFX中的USB重定向,可惜remoteFX对服务器要求很高,我只能靠第三方软件带过去,所以我想有没有办法通过设备ID来控制这些用户只能访问给他指定ID的设备
    2012年7月20日 5:17
  • 原来如此,那可以试试Device注册表键值的ACL
    2012年7月20日 5:40
  • 原来如此,那可以试试Device注册表键值的ACL
    有教程吗?
    2012年7月20日 6:11
  • 原来如此,那可以试试Device注册表键值的ACL
    有教程吗?

    我想到的这种做法是一种比较Hacking的做法,我想不会有标准文档。

    如果是我来Try,我会先Procmon去找出访问该设备时发生的对那个关键Object(应该是某个注册表键值)的Access(Reg Query),然后对它的ACL做一些微调(你懂得吧),再测试是否仅某一被ACL允许了的用户可以访问。


    以上建议纯属hacking思路,不是大路做法,不是很推荐,还希望有人能找出官方公开说明(个人感觉存在的可能性极低)。
    • 已编辑 Finy 2012年7月20日 6:35
    2012年7月20日 6:32
  • 好吧,这已经超出我的理解范围了,我仅知道usb redirector ts这款软件可以做到用户设备隔离,可惜找不到注册码,俄罗斯人写的,不知道他是怎么实现的

    2012年7月20日 6:48
  • 好吧,这已经超出我的理解范围了,我仅知道usb redirector ts这款软件可以做到用户设备隔离,可惜找不到注册码,俄罗斯人写的,不知道他是怎么实现的

    没明白哪里超出你的理解范围了。

    procmon是sysinternal的知名工具,微软技术支持在为客户做Troubleshooting时都经常用这工具去抓信息呢,就算你以前不知道,那你现在至少也该知晓一下这个工具。因为它实在太实用了,特别在摸索系统行为时。。。

    另外,你所要做的,就是访问控制,在Windows下做逻辑实体的访问控制,无非就是对Object做ACL,就像NTFS权限一样。


    2012年7月20日 7:10