anyThing is everyThing

（1）首先来看一下通用的RDP设置，开始—管理工具—远程桌面服务—RemoteApp 管理器，RDP设置，点“更改”。

如果不勾选设备和资源中的选项，将不能被RemoteApp程序使用。例如：如果不勾选“磁盘驱动器”，RemoteApp程序Excel保存时，只能保存在服务器中，而不能保存在本地磁盘。除非特殊的原因，我们不想让用户把文件都保存到服务器，这样用不了多久，我们就会为服务器的磁盘空间不足而苦恼了。

（2）如果你用RD Web方式运行RemoteApp，你会发现，“驱动器”、“端口”、“其它支持的PnP设备”，不会勾选。每次都必须手动来选择。

这可以看出，微软总是假设我们使用互联网方式来使用RD Web的RemoteApp。互联网的速度有时太慢，映射本地的驱动器和端口可能会因网络延时太大而失败。

连接时，要注意选择“驱动器”，以保证保存时能保存到本地磁盘。

在RemoteApp程序Excel中点保存，默认会保存在“我的文档”中，当然这个我的文档是在服务器，这不是我们希望的。我们希望文档保存在本地计算机的磁盘中。

在左边点“计算机”，右边选择本地磁盘“MYPC1上的C”，选择一个文件夹保存。

远程桌面服务器的安全性：我们发现，在保存时，可以在远程桌面服务器的D盘、E盘的根目录中存放文件，在C盘的根目录及Windows系统自建的文件夹不能写入文件。因此，我们应该修改磁盘和目录的NTFS权限，以避免用户写入文件和文件夹。

如上面图所示，修改远程桌面服务器的磁盘和文件夹上的NTFS权限。

策略设置如下：

C盘以外的盘符删除除administrators组和system组的所有权限。

C盘只设置Users组读取和执行权限。

具体设置方法：

（1） C盘NTFS权限设置

C盘，右键，属性。“安全”选项卡。

点“高级”

点“更改权限”

l 删除Usersr的“创建文件夹、附加数据”和“特殊”这两个权限。读取和执行的权限不修改也基本能保证用户不会把文件存入到远程桌面服务器自己帐号以外的文件夹中。用户自己创建的文件能够删除。

l 如果想让用户对所有的文件夹、子文件夹和文件只有读取的权限，就修改Users的读取和执行权限，只留下读取权限即可。用户自己创建的文件不能删除。不过，这样设置以后，我担心有的软件可能无法正常运行，没有经过详细的测试，发现有RemoteApp程序运行异常时，再修改权限也可以。

（2）在其它盘上设置NTFS权限

在其它盘上设置NTFS权限就很简单，删除除了administrators组和system组以外所有组的权限。

安装程序最好安装在C:\Program files文件夹中。因为系统默认会对这个文件夹进行写保护。

经过以上设置，我们再来看文件保存。

无法访问D:\。

试验表明，经过NTFS权限设置，完全能对Users组进行控制，不过对Administrators组不能控制，当然必须要保证管理员用户能访问所有磁盘及文件夹，否则，就会出大问题了。

Windows 2008 R2 远程桌面服务（六）RemoteApp程序的文件保存