» Терминальный сервер: скрыть диски сервера от пользователей

Antdik

У меня не используется AD, поэтому не подскажу как там.
А в рабочих группах это делается в tscc.msc -> Подключения -> Правой кнопкой на RDP-Tcp -> Свойства -> Вкладка "Среда" -> активировать галочку "Запускать следующую программу при входе пользователя" и прописать путь до программы.

Но в этом случае это применится ко всем пользователям, а мне нужно чтобы, как ты написал что "у некоторых пользователей жёстко прописана 1С как среда работы, то есть рабочий стол они вообще не видят. У остальных рабочий стол виден."

В настройках пользователя:
Среда->запуск программы по умолчанию

ck80
Так как можно сделать на разных пользователей запуск программ? И как же сделать одним дать доступ к рабочему столу а другому нет.

Vedmich

Хм.. Разные программы для разных пользователей..
Это только если при подключении каждому прописывать. У пользователей ярлык на mstsc, а там в соответствующей вкладке прописать нужную программу для каждого пользователя.

Для 1С7 все работает точно, для 1с8 - не помню, надо проверять:

1. Сразу Вас очень сильно огорчу... При открытой 1С: Файл - открыть - правой кнопкой для вызова меню на любом каталоге - открыть. Если у вас 1С7 - получите рабочий стол, для 1с8 не помню, но кажется то же самое.
2. Если в проводник вставить полный путь к базе, где она лежит, то получите в проводнике этот каталог, как есть, дальше можете делать с ним что хотите.

Цитата:

CLASS USER

CATEGORY !!Shell
CATEGORY !!Restrictions
KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

POLICY !!HideDrives
PART !!HideDrives_Tip1 NUMERIC
VALUENAME "NoDrives"
DEFAULT 0
END PART
PART !!HideDrives_Tip2 TEXT END PART
PART !!HideDrives_Tip3 TEXT END PART
PART !!HideDrives_Tip4 TEXT END PART
PART !!HideDrives_Tip5 TEXT END PART
END POLICY ; HideDrives

POLICY !!NoViewOnDrive
PART !!NoViewOnDrive_Tip1 NUMERIC
VALUENAME "NoViewOnDrive"
DEFAULT 0
END PART
PART !!HideDrives_Tip2 TEXT END PART
PART !!HideDrives_Tip3 TEXT END PART
PART !!HideDrives_Tip4 TEXT END PART
PART !!HideDrives_Tip5 TEXT END PART
END POLICY ; NoViewOnDrive

END CATEGORY
END CATEGORY ; Shell

[strings]
Shell="Оболочка"
Restrictions="Ограничения"
DisableRegedit="Сделать недоступными средства редактирования реестра"
HideDrives="Скрытие дисков в 'Explorer'"
HideDrives_Tip1="Маска скрытия дисков:"
HideDrives_Tip2="Младшие 26 бит отвечают за скрытие дисков"
HideDrives_Tip3="(0-диск A, 1-диск B, и т.д. до 25-диск Z),"
HideDrives_Tip4="при установки бита в 1 диск скрывается."
HideDrives_Tip5="Число записывается в десятичной форме!!!"
NoViewOnDrive="Запрет дисков в 'Explorer'"
NoViewOnDrive_Tip1="Маска запрета дисков:"

К какому языку это относится?

AciN
к языку описания политики в GPO

Vby

Это понятно. Я имею ввиду по каким так сказать "тегам" искать информацию о языке описания этих политик?

Если юзеры в терминале работают только с одной прогой
У нас сделано так в корне диска лежит батник который запускает 1с и в профиле пользователя прописанно так чтоб за место оболочки запускался этот батник и кроме этой проги ничего они не увидят

AciN
http://msdn.microsoft.com/en-us/library/aa374150(v=VS.85).aspx

а можно ли в реестре закрыть терминальному пользователю все диски на терминале, но оставить диски локальные с компа пользователя, которые подключаются при входе в терминал?

Спасибо реально помогло! Ни как не мог победить... хотя так все просто, делал на 2008 R2
может кому попроще будет понять тоже самое описание чуток другими словами...

ПКМ на диске С:\
Закладка Безопасность
Добавляю "Пользователи удаленного раб.стола" (разрешения оставил по умолчанию)
Кнопка внизу Дополнительно
Закладка Разрешения
Кнопка Изменить разрешения
Выбрать "Пользователи удаленного раб.стола" Кнопка Изменить
1) ПРИМЕНЯТЬ: "Для этой папки, её подпапок и файлов" - разрешить (то есть поставить галочки)
на своё усмотрение (оставлял по умолчанию)
2) "Только для этой папки" - запретить Содержание папки/чтение данных
(потом жму ОК/применить, сервак ругается воскл знаки всякие, ок,ок довожу до конца)
Если просто запрещать в Безопасности диск C:\ то Оборотно сальдовая по счету подвешивала 1с 7.7
а сама 1ска установлена была на другой диск "портативно" запускалась и остальное работало без проблем



Цитата:

Может кому пригодится.

Я сделал следующим образом. Терминальный сервер + 1С. У некоторых пользователей жёстко прописана 1С как среда работы, то есть рабочий стол они вообще не видят. У остальных рабочий стол виден, соответственно они могут и в "мой компьютер" заходить. Я не стал скрывать диски сторонними программами, а воспользовался встроенными NTFS разграничениями доступа.

Правой кнопкой на локальном диске - Общий доступ и безопасность - Вкладка "Безопасность" - Выбрать группу пользователей (Все пользователи терминала у меня в одной группе) - Внизу кнопка "Дополнительно" - В открывшимся окне нам необходимо создать два правила для этой группы

1) Для этой папки, её подпапок и файлов разрешить (то есть поставить галочки) на своё усмотрение
2) Только для этой папки запретить Содержание папки/чтение данных

После этого пользователи не смогут заходить в папку и соответственно не смогут скопировать, удалить или переименовать что-либо, но будут иметь возможность работать в 1С. Проверено.

Здравия всем!
Имеется: КД (Win Server 2008 R4 64 bit ) и терминальный сервер (Win Server 2008 R4 64 bit ).
Нужно: скрыть системный диск терминального сервера от пользователей, заходящих на сервер терминалов.
Подскажите, плс - при импорте шаблона (с первой страницы сией темы) в новый GPO валит ошибка:

Может не туда импортирую?
Конфигурация пользователя/Политики/Административные шаблоны
вновь созданного GPO.
Чтобы это могло быть?

Мне кажется проблему сливания данных с сервера посредством копирования файлов из терминального доступа куда нибудь к себе в шару по сети можно решить, встроеным в windows шифрованием с использованием сертификатов...

Экспериментировал на одной папке

Создал папку, в свойствах выставил использовать шифрование, завел сертификат
отмечу права ntfs для этой папки всем на все разрешить.
потом беру , копирую в эту папку обычный текстовой документ со словом яблоко внутри
потом беру , захожу через \\локальный комп в свою расшареную папку
и копирую этот файл
опа
и пытаюсь его открыть и нифига (правда под другим локальным пользователем), я вообще немогу ничего с ним сделать
хотя пока он на серваке , я могу с ним работать как хочу

но у меня осталась пара неразрешенных проблем
почему я и не смог довести копания доконца.

1. Как сделать чтобы с этой шифрованой папкой на сервере могли работать другие терминальные пользователи , у них же будут другие сертификаты..... прописывать каждые туда .... хмм запарюсь ...может быть есть какое то решение типа сертификат именно сервера а не пользователя
типа пока файлы из этой папки на серваке все отлично для всех, как только его увели с сервера не важно куда , то все капец....

2. на локальном компе у меня две учетки админская (local) и рабочая (work - user права)
запускаю тотал командер под админской локальной учеткой local , логинюсь на сервак , ввожу логин и пароль доменного администратора, вхожу на сервак, захожу в шару (зашифрованая папка) , сливаю оттуда этот текстовик и он прекрасно на локальном компе в тотале открывается. тотал закрываю, т.е. остаюсь с правами и под пользователем work и слитый текстовик не открывается , что супер .
но то что в случае с local он открылся вобщем не сильно напрягает , так как скопируй на флэшку его или отправив по почте , там его не откроют я думаю, но все равно как то не секьюрно.

КТО В ТЕМЕ , РАСКРОЙТЕ НЮАНСЫ ПОДОБНОЙ ЗАЩИТЫ и как удобнее это и лучше делать

удалено - ошибся темой