方法一、通过禁用映射的方法实现

1. 打开终端服务配置，找到链接->RDP-tcp->客户端设置
2. 禁用如下这些：
   • 驱动映射
   • 剪切板映射

方法二、通过组策略禁用重定向的方法实现

1. 打开组策略编辑器，找到计算机配置\策略\管理模板\windows组件\终端服务\终端服务器\设备和资源重定向
2. 在这里面启用您所想启用的任何功能。

方法三、通过注册表禁用重定向方法实现

如果您并不能管理终端服务，您可以通过在客户端下添加如下这些注册表键值来禁用重定向：您看到的文章来自活动目录seo http://adirectory.blog.com/category/system-network-administration/

1. 找到HKLM\SOFTWARE\Microsoft\Terminal Server Client
2. 添加如下三个键：
   • “DisableDriveRedirection”=dword:00000001
   • “DisableClipboardRedirection”=dword:00000001
   • “DisablePrinterRedirection”=dword:00000001
3. 或者禁用所有的重定向：
   • HKLM\Software\Microsoft\Terminal Server Client\Default\AddIns\RDPDR\
   • “DisableDeviceRedirection”=dword:00000001

方法三、限制通过IP访问的方式复制文件。

事实上我们并没有很直接的办法来实现我们这个目的。然而，我们可以通过block某些类型的网络流量来实现限制用户访问类似共享文件，telnet等等这样的动作。我们可以通过IPsec来实现。

例如，文件夹共享会使用TCP 445 和 TCP139这两个端口，所以我们可以禁止下面这些流量：

• 禁止：终端服务 至 用户工作站 445 端口的流量
• 禁止：终端服务 至 用户工作站 139 端口的流量

注意：使用了上面的设置，终端用户仍然是能够访问终端服务上的共享文件夹的。如果我们需要同样需要禁止这种流量，那么我们就需要定义下面这些策略：

• 禁止：用户工作站至终端服务445 端口的流量
• 禁止：用户工作站至终端服务139 端口的流量

同样，我们可以通过禁用如Telnet或FTP的流量：

• 禁止：终端服务 至 用户工作站 21 端口（FTP控制通道）的流量
• 禁止：终端服务 至 用户工作站 23 （telnet）端口的流量

但使用IPsec存在着一些限制：

1. 当定义IPsec策略的时候，我们必须提供所有客户端的IP地址。我们也同时需要提供像 192.168.0.0/255.255.255.0 这样的子网地址。但我们需要建立一些例外规则来允许到某些主机如DC上的流量。例如，所有的域成员服务器应该能够访问DC的共享文件夹，所以我们必须允许这样的流量能到DC上。
   • 通常来说，IPsec策略应该是像下面这个样子的：
   • A）阻止所有从终端服务到客户端子网上445和139端口的所有流量
   • B）阻止所有我们想要的阻止的其他流量
   • C）允许终端服务到特定主机（如DC，文件服务器或一些其他机器）的流量
2. IPsec策略是基于计算机IP地址的，并且会应用到所有的用户。这就意味着终端服务上的所有用户都会得到相同的结果。在应用这个IPsec策略后不仅普通用户将不能访问工作站上的共享文件夹，而且域管理员也不能访问了。
3. 终端用户仍然可能找到其他方法来把文件下载到自己的机器上。例如，他们可以把文件复制到一个没有应用该IPsec策略主机的临时文件夹中（假设他们在那台机子上有权限），然后把这些文件从临时文件夹再复制到自己的机子上来。或者可能通过某些可以通过80端口来传输文件的应用程序。

方法四、可以直接配置2008的高级防火墙策略实现，

即通过防火墙，也可以达到block某些类型的网络流量来实现我们的目的。但还是要考虑到我们之前所讨论的一些限制。

朱一峰   微软全球技术支持中心

禁止从终端服务器复制文件的相关文章请参看

2008 R2终端服务器

windows 2008终端服务手机终端访问

windows 2008终端服务器设置

自动断开终端服务器不活动连接

限制登录终端服务器

终端服务用户使用不同应用程序

终端服务连接故障分析

终端服务器系统盘清理

终端服务连接故障分析

终端服务RDP带宽占用

终端服务授权

终端服务器授权

终端服务器授权升级

不允许使用保存的凭据登录

远程桌面连不上

远程桌面授权

远程桌面:授权协议中的一个错误

终端服务连接故障分析