» Терминальный сервер: скрыть диски сервера от пользователей

да нет "потерял"
большой респект Alan Mon
только про
Цитата:

подключив измененный шаблон

не совсем понял
это про

Цитата:

Создаешь новый GPO и импортируешь в него шаблон следующего содержания:

спасибо за терпение

Dzak
Да. Или как говорит angelweb отредактировать system.adm.
Но я предпочитаю оригинальные файлы не трогать, а добавлять свои собственные. В случае чего легче откатиться назад.

блин
видят они мои диски
почти все сделал как сказано
единственно не понял что значит "добавьте элемент "Group Policy" и настройте его на использование локальной политики безопасности. "
добавить то добавил но что значит настроить

да и еще что значит "снимите флажок"Show Hidden Files and Folders" " если млин там можно только переставить в другое положение то бишь не отображать


Добавлено:
angelweb
неприятный момент в данной схеме

Цитата:

Диски "исчезнут для всех" ... тоесть из проводника а не фактически.

из приложений при попытке сохраненить файло их (дисков) тоже не видно

Dzak

Цитата:

добавить то добавил но что значит настроить

При добавлении она тебя должна была спросить, какую политику будем редактировать, доменную или локальную? Хотя, может и не спросила, если сама прочухала, что доменной вообще не существует. Так что тебе и настраивать ничего не нужно было.

У тебя в политике появился пункт?

Цитата:

"Конфигурация пользователя\Административные шаблоны" появится "Оболочка\Ограничения" с двумя пунктами: "Скрытие дисков Explorer" и "Запрет дисков Explorer".

признаюсь что воспользовался только
Policy                                 Setting
Hide these specified drives in My Computer     Enabled
Pick one of the following combinations     Restrict All disk

тот шаблон чего то недопетрил как подключить

Dzak
Что-то ты не так делаешь. Эти политики должны скрыть все диски. Все ухищрения, описанные мной предназначены для того, чтобы скрыть определенные диски и создать новые. Потому что если скрыть ВСЕ диски, пользователи не смогут работать. Им нужен диск, на котором лежит профиль, нужны диски с данными и т.д.
Да, ты в курсе, что политики применяются в момент логона? Перелогинивался после применения политик?

да были скрыты все, в том числе и у меня и у них но это на первом этапе до замены Registry.pol
после же замены все вернулось как было
я уже сам сомневаюсь
делал все как в той статье
тобишь выходил из системы на сервере и на нем же заходил под сетевым именем и соответвенно паролем для терминальных юзверей
единственно повторюсь не понял что значит

"Откройте элемент Панели управления "Folder Options". Перейдите на вкладку "View", снимите флажок "Show Hidden Files and Folders" и нажмите кнопку "ОК" для отображения папки, содержащей настройки политики."

p.s.
терпение у тебя железное, честно завидую

Цитата:

единственно повторюсь не понял что значит

Ну это просто для того, чтобы ты увидел в Проводнике эти папки и файлы, т.к. они скрытые.
А дальше? Копию registry.pol сделал? Настройки назад вернул? registry.pol обратно положил?

да, но это было вчера,
да и че теперь - отменять все как там написано (или какая разница все равно не работает и заново все проделать?)
сегодня пока проделать все то же самое не могу
работают терминальные юзвери
перерыв

ура получилось
правда на XP
теперь появилось желание скрыть конкретные свои диски напр D,F,G
а диски удаленного рабочего стола (юзверя оставить)

Вношу свою небольшую лепту в дискуссию. Есть такая утилита Hidecalc ссылка

http://www.dabcc.com/thinsol/Files/hidecalc.zip

как раз для сокрытия дисков на компьютере. Создает рег файл для сокрытия выбранных дисков, и другой для открытия их. Попутно вопрос: Заходит пользователь в 1С выбирает файл открыть, на папке с базой 1С кликает копировать, к себе на компьютер вставить, и все, как это запретить, если можно поподробней пожалуйста. А то юзеры очень умные попадаются, сокрытие дисков не помогает

funtik
http://kb.mista.ru/article.php?id=55 На практике не применял,пока за неадобностью, но примеры (ссылка внизу стр)
рабочие

[b]FOLD[/b

Огромное спасибо, очень интересно, но я нашел несколько другой способ. Есть такая замечательная (как оказалось) программа Advanced Security Administrator

скачать все необходимое можно здесь

http://forum.ru-board.com/topic.cgi?forum=35&topic=4159&start=40

очень неплохой вариант!!!

Может для кого-нибудь будет полезна информация о скрытие дисков в Far'е:

Цитата:

[HKEY_CURRENT_USER\Software\Far\Policies]
[HKEY_LOCAL_MACHINE\Software\Far\Policies]
"ShowHiddenDrives":REG_DWORD
Параметр "Policies/ShowHiddenDrives" c типом DWORD позволяет наследовать
свойства Windows по сокрытию логических дисков из системы ("Hide Drives
in My Computer")
0 - FAR показывает только доступные диски (учитывается значение
параметра параметра "NoDrives" системной политики).
1 - функция отключена, FAR показывает все диски, независимо от
значения параметра "NoDrives" в реестре
([HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer])
Параметр из HKLM позволяет назначать наследование на уровне всех
пользователей. Параметр из HKCU - на уровне текущего пользователя. Если
параметр из HKLM=0 (не показывать скрытые диски для всех пользователей),
то параметр из HKCU не имеет никакого эффекта.
По умолчанию значение = 1.

З.Ы. Это только скрывает диск из меню выбора диска! На скрытый диск всё равно можно перейти!

А как быть еще с тотал командером и прочими шеллам, в принципе вижу выход одни запретить пользователям запускать эти программы через нтфс разрешения.
Но у меня возник еще вопрос, диски я скрыл, но вот через ворд все равно можно увидеть содержимое локальных дисков (если просто написать к нему пусть в меню открыть файл) Это может не страшно, но не приятно.

Добавлено:
Забыл добавить, как следствие что нить можно скопировать с локального диска к себе в профиль

DiDrag0n
запретил доступ всем юзерам ко всем локальным дискам как описано в http://support.microsoft.com/kb/325351/ru - получилось классно - диски везде видны, но из любой программы доступ к ним запрещен. Скрывать не буду - не надо оно, но то что мне нужно было - добился.

есть программка security administrator
она и диски спряет для нужных пользователей те которые ты скажешь
и много чего еще..

А у меня проблема иная. Есть два домена с доверительными отношениями (но не в одном лесе). Пользователи подключаются в терминале (через Citrix) к приложению в доверенном домене. Очень нужно, чтоб при подключении отображались только пользовательские диски, а диски терминального сервера были скрыты. GPO здесь не работает, т.к домены разные (не в одном лесе). Можно отключать отображение дисков через реестр. Есть два пути. 1й: ветка HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer создать параметр "nodrives" c id диска. Но в данном варианте у локального пользователя (например админа) диски также отображаться не будут - что не удобно.
2й путь: ветка HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer - параметр тот же. Но! Если пользователь подключается из другого домена в терминале он НЕ может редактировать эту ветку (ни в ручную, ни скрипт добавить строчку не в состоянии).Права на ветку им давал. А если пользователь входит локально на терм. сервер то почему-то может. Перерыл весь гугль, но решения второго пути так и не нашел (а именно он мне нужен). Сторонние приложения использовать не хочется. Может знает кто как разрешить данную задачку - обеспечить доступ из терминальной сессии в ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ?

Может кому интересно откуда взялись параметры в шаблоне описанном на первой странице, об этом можно почитать здесь:

http://www.osp.ru/text/302/177316/ - вот только ссылка оттуда на полное описание от Microsoft не работает

Интересно, зделал свой шаблон, добавил в GPO для контейнера - не пашет. Он его проглотил, настройки появились в политиках, все работает, в логах не ругается, пишет что настройки GPO успешно применены, но на клиентах в реестре ничего не меняется, имею ввиду параметр NO DRIVE. Клиенты - пользователи удаленного рабочего стола.

Добавлено:
Извените за беспокойство, это моя невнимательность, недосмотрел нехватку буквы в описании названия параметра, теперь все нормально.
Но все же интересно, в реестре параметр называется "Nodrive", а в ADM - файле его нужно писать "Nodrives".

Может кто сталкивался с такой проблемкой. На сервере терминалов подключен шифрованный диск, который подключается и отключается при необходимости. При этом происходит следующее: если пользователь подключается заново к серверу, то все нормально видит; если он в это время подключен, то диск у него есть, но при обращении к нему выдается сообщение о том, что он ссылается на недопустимое пространство. Может кто знает, как от этого избавится?

Парни - а как убрать из приложения возможность ходить по путям???
Ну например в 1с - файл>>открыть>> а далее \\имя компьютера и просмотр шар...

Как убрать UNC paths \\ ???

Ведь на C:\ не дает ходить...

А как вот такое решить ?
В конторе не развернут AD, нет и DNS, установили 2003 сервак, на нем развернули Terminal Server, лицензировали, активировали - все как положено.
Теперь директор хочет ограничить пользователей терминала, чтобы дисков не видели, чтобы отключить сеанса не было, ну и прочие ограничения по системе.
Где данные ограничения прописываются ?

EagleCr
В групповых политиках gpedit.msc

в груповой политики можно убрать как просмотр дисков в "мой компьютер" так и доступ к жтим дискам...
но есть и более сложные решения по копированию со скрытых разделов баз.

мда...археологи

рекомендую скачать Citrix Metaframe Presentation Server. У него в автозапуске есть переименовалка дисков, без потери данных. Соответственно переименовывай системные диски и мапь на их место юзерские, а потом уже hidecalc

Всем здравия! Каким образом для терминального сервера можно настроить групповые политики без использования Active directory? Ткните носом где почитать.

Может кому пригодится.

Я сделал следующим образом. Терминальный сервер + 1С. У некоторых пользователей жёстко прописана 1С как среда работы, то есть рабочий стол они вообще не видят. У остальных рабочий стол виден, соответственно они могут и в "мой компьютер" заходить. Я не стал скрывать диски сторонними программами, а воспользовался встроенными NTFS разграничениями доступа.

Правой кнопкой на локальном диске - Общий доступ и безопасность - Вкладка "Безопасность" - Выбрать группу пользователей (Все пользователи терминала у меня в одной группе) - Внизу кнопка "Дополнительно" - В открывшимся окне нам необходимо создать два правила для этой группы

1) Для этой папки, её подпапок и файлов разрешить (то есть поставить галочки) на своё усмотрение
2) Только для этой папки запретить Содержание папки/чтение данных

После этого пользователи не смогут заходить в папку и соответственно не смогут скопировать, удалить или переименовать что-либо, но будут иметь возможность работать в 1С. Проверено.

to ck80

Цитата:

Терминальный сервер + 1С. У некоторых пользователей жёстко прописана 1С как среда работы, то есть рабочий стол они вообще не видят. У остальных рабочий стол виден, соответственно они могут и в "мой компьютер" заходить.

Если не затруднит, то можно поподробнее о то как сделать такое разделение. О системе - домен (AD, DNS и т.д). Терминальный сервер в домене но не DC.