» Терминальный сервер: скрыть диски сервера от пользователей

Итак. Имеем Windows 2000 Server+Ad+TS(родные ).В общем после долгих мучений сервер терминалов заработал.Сейчас имеем другую проблему. Есть пользователь домена. Обычные права. В общем стандартный юзер. При разрешении ему коннекта на терминал он нормально начинает с ним работать но!!!
В системе есть разные лгические диски. Он их видит все. И заходит на все диски, а на них к тому-же стоит что через Active Directory на них заходят определенные пользователи. Так вот. Я хочу, что-бы по сети диски было видно так, как при локальном входе, а при коонекте на терминал. Было видно допустим один раздел. Ограниченный. Один вопрос. как это все реализовать?

написал непонятно.
а зачем скрывать?
основной диск оставь как есть.
перенеси sysvol на другой диск.
а разрегулируй правами на корень дисков, чтобы юзеры, которым дан доступ в терминал по ним не лазили. например на диск (раздел) с бекапами, доступ юзерам не нужен вообще, ну или там с sysvol'ом. а вообще зачем пользователи ходят в терминал? предполагаю, что работает с чем-то с одного диска (кроме основного системного - на нём права нормальные по умолчанию, так что не волнуйся), так зачем ему (им) права на остальные (это я про стандартные виндовские (2003) права для свежеотформатированного в ntfs раздела)...?
может и я напсиал непонятно?

1. Можно поподробней о SYSVOl?
2.Как "разрегулировать правами" прошу учесть, что не все диски в NTFS есть и в Fat32.
Допустим работать юзер терминала будет с одной прогой, она будет запускаться с системного диска.

WolfEnstein
Такое можно сделать применив маленький adm-шаблон к политике контейнера, в котором находится терминальный сервер. Но нужно учесть, что если ты скрываешь диск, на котором лежит профиль пользователя, нужно как-то дать ему туда доступ.

можно по подробней. То что я хочу я описал выше.

Цитата:

Можно поподробней о SYSVOl?

ищи на microsoft
best practice moving sysvol


Цитата:

не все диски в NTFS есть и в Fat32.

переводи все в ntfs. у тебя сервер или шарманка?


Цитата:

юзер терминала будет с одной прогой, она будет запускаться с системного диска.

наверняка она установлена в program files и зарускается, если у юзера на неё read-only.
как например с 1С бывает. тут всё нормально.

+ я помню в шаблонах только о том, чтобы скрыть диск от проводника. зачем скрывать? не давать доступ изначально туду куда не надо гораздо проще. максимум, что увидит юзер - лейбл и размер (кажется) диска. и всё.

что такое Sysvol? Переводить все данные на ynac без потери разрешений на папки и без потери данных? Как?

WolfEnstein
Я в принципе согласен с leputain. Закрыть доступ гораздо проще, чем скрывать диски. Тем более, что абсолютно надежно их не скроешь. Но я пользуюсь и тем, и тем. Например, у меня когда пользователь логинится в терминал, он видит диск U:, который физически является папкой с пользовательскими данными на диске C:, и диск W:, который смотрит на "Documents and settings\%username%". Это сделано для того, чтобы всякие любопытные пользователи не лазили, где им не следует. Например, на WINNT у них конечно права ReadOnly, но запускать утилиты они ведь оттуда могут, а нефиг.

расскажите пожалуйста как Вы это делали?

sysvol - это важная папка, часть структуры AD, её советуют переносить на отдельный раздел.


Цитата:

Переводить все данные на ynac без потери разрешений на папки и без потери данных? Как?

если у тебя fat, то надо covert /fs:ntfs <буква диска>. и никаких разрешений ты не потеряешь, в fat'е нет разрешений. данные тоже выживут.
если у тебя уже ntfs, то ничего переводить не надо, просто регулируй права доступа.

leputain
SYSVOL конечно важная папка, но права на нее выставлены по умолчанию как и на все системные папки - ReadOnly. Поэтому не вижу смысла переносить ее куда либо. А если уж переносить, то NTDS, ИМХО, гораздо важнее.

WolfEnstein
Создаешь новый GPO и импортируешь в него шаблон следующего содержания:

Код: CLASS USER

CATEGORY !!Shell
CATEGORY !!Restrictions
KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

POLICY !!HideDrives
PART !!HideDrives_Tip1 NUMERIC
VALUENAME "NoDrives"
DEFAULT 0
END PART
PART !!HideDrives_Tip2 TEXT END PART
PART !!HideDrives_Tip3 TEXT END PART
PART !!HideDrives_Tip4 TEXT END PART
PART !!HideDrives_Tip5 TEXT END PART
END POLICY ; HideDrives

POLICY !!NoViewOnDrive
PART !!NoViewOnDrive_Tip1 NUMERIC
VALUENAME "NoViewOnDrive"
DEFAULT 0
END PART
PART !!HideDrives_Tip2 TEXT END PART
PART !!HideDrives_Tip3 TEXT END PART
PART !!HideDrives_Tip4 TEXT END PART
PART !!HideDrives_Tip5 TEXT END PART
END POLICY ; NoViewOnDrive

END CATEGORY
END CATEGORY ; Shell

[strings]
Shell="Оболочка"
Restrictions="Ограничения"
DisableRegedit="Сделать недоступными средства редактирования реестра"
HideDrives="Скрытие дисков в 'Explorer'"
HideDrives_Tip1="Маска скрытия дисков:"
HideDrives_Tip2="Младшие 26 бит отвечают за скрытие дисков"
HideDrives_Tip3="(0-диск A, 1-диск B, и т.д. до 25-диск Z),"
HideDrives_Tip4="при установки бита в 1 диск скрывается."
HideDrives_Tip5="Число записывается в десятичной форме!!!"
NoViewOnDrive="Запрет дисков в 'Explorer'"
NoViewOnDrive_Tip1="Маска запрета дисков:"

leputain
Тоесть с FAT32 без каких-либо проблем переведет раздел на нтфс без потери данных и разрешений?
Alan Mon
Большое спасибо за помощь, но не могли-бы Вы по-подробней рассказать как создавать
GPO и импортировать в него шаблон. Оисанные Вам способы полностью запрещают терминальному юзеру просматривать диск?

да. делай так:
convert <диск> /FS:NTFS /V
/V - это вывод сообщений.

leputain
без потери данных и разрешений?

Цитата:

leputain
Тоесть с FAT32 без каких-либо проблем переведет раздел на нтфс без потери данных и разрешений?

Цитата:

да. делай так:

что ещё сказать?

Добавлено
на fat32 нет разрешений. на fat32 могут быть разрешения только на shares.

Добавлено
про них не знаю. но их в конце концов можно записать на бумажку и т.п.

WolfEnstein

Цитата:

Оисанные Вам способы полностью запрещают терминальному юзеру просматривать диск?

Нет. Этот способ ничего не запрещает. Он только скрывает диски и только в проводнике. Любая другая программа, работающая с файловой системой (Far, Windows Commander, даже cmd.exe) будет их видеть. Поэтому я и написал, что нужно еще озаботиться запретом на запуск таких приложений. А этого ты тоже надежно запретить не можешь. Гарантированно запретить просматривать диск ты можешь только установив соответствующие права доступа. Но например системный диск ты не сможешь закрыть от промотра правами, потому что юзеры для нормальной работы должны иметь право чтения и запуска из WINNT, System32, Program Files и т.д.

Цитата:

не могли-бы Вы по-подробней рассказать как создавать GPO и импортировать в него шаблон

"Active Directory. Пользователи и компьютеры", правой кнопкой на "Domain Controllers" (если терминальный сервер у тебя является контроллером домена. Если нет, создать новый OU, перенести туда твой ТС и уже на нем). Вкладка "Групповая политика", кнопка "Создать", кнопка "Изменить", правой кнопкой на "Конфигурация пользователя\Административные шаблоны", "Добавление и удаление шаблонов". Кнопка "Добавить". Выбираешь предварительно сохраненный в файле с расширением .adm мой шаблон. В этой новой политике в "Конфигурация пользователя\Административные шаблоны" появится "Оболочка\Ограничения" с двумя пунктами. Дальше по моему предыдущему посту.
Но судя по твоим вопросам, я бы не советовал тебе сразу это делать. Можешь получить большие проблемы. Для начала почитай
политики (Group Policy): документация, FAQ, ссылки
Using and Developing Applications Compatibility Scripts with Windows NT Server 4.0, Terminal Server Edition
и разберись, как работают WINNT\System32\usrlogon.cmd и скрипты в "WINNT\Application Compatibility Scripts"

ну системный диск я скрою не полностью, а пользователям хочу дать доступ только на их папки и никуда больше. NTFS?

NTFS однозначно и не только для того, чтобы что-то скрыть, а в принципе на сервер и т.п. NTFS! это (щас напрягусь) журналируемая файловая система и поэтому что-то там очень хорошо в случае сбоев и т.п. + регистрация обращений к файлу по дате + партиции большого размера.. это всё отдельная тема, про преимуществаи недостатки NTFS.

самое главное - на любой сервер NTFS.

leputain
Точно без потери данных и разрешений?
convert <диск> /FS:NTFS /V

Добавлено
leputain
Что делать?
C:\Documents and Settings\Администратор> convert /fs:ntfs E
Недопустимый параметр: E

C:\Documents and Settings\Администратор> convert E /fs:ntfs /v
Неправильно указан диск.

C:\Documents and Settings\Администратор> convert E:\ /fs:ntfs /v
Неправильно указан диск.

C:\Documents and Settings\Администратор> convert E:/ /fs:ntfs /v
Недопустимый параметр: /

C:\Documents and Settings\Администратор> convert E:/ /fs:ntfs
Недопустимый параметр: /

C:\Documents and Settings\Администратор> convert E:/ fs:ntfs
Недопустимый параметр: /

C:\Documents and Settings\Администратор>

WolfEnstein
convert /? - читаем справку, там все четко написано

и вот как нужно:

convert E: /FS:NTFS

точно без потери данных ьудет произведена конвертация, если уж сильно так сомневаешся - сделай бекап, что тебе мешает..?

Xrobak
C:\Documents and Settings\Администратор>convert E: /FS:NTFS
Тип файловой системы: FAT32.
Введите метку тома для диска E:
Указана недопустимая метка диска.

WolfEnstein
посмотри на метку твоего диска Е и на предложение ввести метку тома диска, напиши эту самую метку и нажми Ентер.
Метка тома - это label, через проводник например заходиш в Мой компьютер и смотриш что пишется возле диска, например - System (C, Local (D, Локальный диск (E
Вот System, Local и Локальный диск как раз и есть метки томов соотвествующих дисков.
Надеюсь понятно теперь?

да, все нормально заработало, спасибо.

проблема таже что и у WolfEnstein и уровень самопознания еще ниже
однако уж очень хочется привести в убожеский вид проводничек
тем более что юзвери менее сведущи и брезгуют всякими Командирами

по инструкции Alan Mon попытался но вылезло что нужно подключиться к домену коего нигде найти не могу
создание новой группы и пользователей неактивны

только вот вспомнил я что сеть работает в рабочей группе Work
домен пустой

просьба утопающего в желании знать
ну чуть чуть подробнее каким образом должно быть все организовано
или где читать

Цитата:

политики (Group Policy): документация, FAQ, ссылки

для новичка
стою на асфальте я в лыжи обутый...

Dzak

Цитата:

по инструкции Alan Mon попытался но вылезло что нужно подключиться к домену коего нигде найти не могу

Где вылезло-то? Напиши подробнее, на каком шаге споткнулся

у самом начале

Цитата:

Если нет, создать новый OU

на
на
Цитата:

"Active Directory. Пользователи и компьютеры"

светится красный крест
и все

Dzak

Используй груповые политики:

Для того,чтобы скрыть определенный диск (к примеру E:) нужно изменить файл system.adm
файл этот правь для политики которую хочешь изменить к примеру
"\\firma.ru\SysVol\firma.ru\Policies\{419DFBB5-F494-4C92-9795-EB062AA44A00}\Adm"
измени два поля
1)ctrl+f ищи "COnly" Добавь NAME !!CEGOnly VALUE NUMERIC 84
2)ищи [strings], туда пропиши CEGOnly="Restrict E drive only"


Вот список значений для драйвов

A = 1 N = 8192
B = 2 O = 16384
C = 4 P = 32768
D = 8 Q = 65536
E = 16 R = 131072
F = 32 S = 262144
G = 64 T = 524288
H = 128 U = 1048576
I = 256 V = 2097152
J = 512 W = 4194304
K = 1024 X = 8388608
L = 2048 Y = 16777216
M = 4096 Z = 33554432

понял что нужно сделать и где это
тока это для терминальных юзверей или меня для меня тоже отрубит?

да и открыв блокнотом C:\WINDOWS\system32\GroupPolicy\Adm\system.adm
там
Цитата:

"\\firma.ru\SysVol\firma.ru\Policies\{419DFBB5-F494-4C92-9795-EB062AA44A00}\Adm"

вроде нет

angelweb
У Dzak нет домена. Соответственно, и групповых политик у него нет.
Dzak
Вместо групповых политик на рядовом сервере можно использовать локальные. Нужно только позаботиться, чтобы эти политики не действовали на администратора. А то сам потом не достучишься до своих дисков. Вот в этой статье все описано достаточно подробно : Как применить локальные политики ко всем пользователям, за исключением администраторов, на компьютере под управлением Microsoft Windows .NET Server, работающего в рабочей группе.
Вобщем, вместо того, чтобы создавать OU, GPO и т.д. просто правишь локальные политики как описано в этой статье, предварительно подключив измененный шаблон чтобы в политике появились новые пункты.

Dzak

Как понимаю домена нет ...

В файле
Цитата:

C:\WINDOWS\system32\GroupPolicy\Adm\system.adm

делай изменения.

Диски "исчезнут для всех" ... тоесть из проводника а не фактически. Набрав в командной строке C:\ можно попасть на диск.

Удачи.