M7.1 版本目前可以在策略组里的远程应用下设置远程应用的访问权限,这个功能非常好,但是觉得还存在以下问题:
1、一般是多个用户或是所有使用同一个策略组的,设置了远程应用的访问权限意味着这些用户的远程应用的网络访问权限均一致;无法细化,若每个用户都需要设置不的网络访问权限,则需要建多个组策略,不太现实。
2、远程应用的网络访问权限无法和用户角色资源角色进行匹配,用户角色没有给网络权限,远程应用也有权限访问,存在不合理的情况。
所以建议远程应用的网络权限放到资源权限里来,意思就是用户使用的远程应用需要访问他服务器IP(比如:1.1.1.1)时,这个用户必需关联了1.1.1.1这个服务器的权限,否则不让访问,同理可以进行细化。这样每个用户都可以设定每个用户的远程应用网络访问权限了。
这对发布浏览器很有帮助,避免越权限访问之类的,做到更加安全。 |