» GPO - запретить пользователю доступ к шарам

хех...у нас порядка 5000 и что? Я задал конкретный вопрос. Не знаете ответ зачем захламлять тему!?

SeT
НУ тогда запретить команду "Выполнить", после запретить конекстное меню для в проводнике.
Первое отключит возможность net share, второе - GUI оболочки.

Неа..не выход... Немножко не то.

SeT
А что надо тогда?

...ну сказал же что именно нада чтобы в свойствах папки небыло вкладки "доступ"! И по правому клику чтоб не вылезало в менюшке "доступ и безопасность"

Есть терминальный сервер, занесенный в отдельный OU. Необходимо через GPO запретить терминальным пользователям лазить по сетке с сервера (недопустить сливание информации с сервера). Удаление всевозможных иконок решает проблему лишь на первый взгляд. Есть дырка. Если пользователь нажмет правой кнопкой, выберет "создать ярлык" и укажет существующий сетевой путь то он откроется. Накручивание NTFS не решит проблему, ибо с сервером будет работать всякий сброд, которого я в глаза не видел.
Есть идеи как закрыть эту дыру?

PavelKhvalov

Цитата:

Есть идеи как закрыть эту дыру?

Именно эту дыру - запретить создавать ярлыки и запретить доступ к сети через GPO.

Цитата:

не решит проблему

Почему не решит проблему? Всё реализeтся GPO политиками. Если недостаточно политик и прав на уровне NTFS, можно подменить Windows Shell с Explorer'а на хоть cmd.exe скрипт. Или подходящую программу из темы «Программы для компьютерных клубов и Интернет-кафе» - хороший вариант. Подходит и для запроса SeT, кстати!

Вопрос чисто технический. В какой ветке GPO проживает лекарство от создания ярлыков и
и "запретить доступ к сети через GPO" ?

wzbryk ты не умничай...ты пальцем покажи где и как это ч/з GPO сделать!

SeT

Цитата:

ты не умничай...ты пальцем покажи

Не, ну ничё себе!!! Молодец! Да мне со всей распальцовкой книгу по этой теме придётся писать и за тебя по Интернету весь день лазить! Не пойдёт.

Показываю навскидку пальцем только основные моменты, которые можно и нужно учесть!

Про запреты NTFS на терминальном сервере:
- Ставите разрешения NTFS, запрещающие неавторизованный доступ в критичные области для группы, в которую входят пользователи терминала (стандартно - Remote Desktop Users). Минимум, для %SystemDrive% (а лучше и все остальные диски), %SystemRoot%, %ProgramFiles% and %SystemRoot%\system32 должно быть:
System - Full Control
Administrators - Full Control
Authenticated Users - Read & Execute

Как это сделать "хорошо" читаем здесь: http://www.brianmadden.com/content/article/Understanding-and-Using-NTFS-Permissions-on-Citrix-and-Terminal-Servers

- Для реестра обязательно поставить "read-only":
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx


Цитата:

В какой ветке GPO проживает лекарство от создания ярлыков и и "запретить доступ к сети через GPO"

Делаем так:
- Помещаем TS в отдельный OU
- Создаём для TS строгую GPO (http://support.microsoft.com/?kbid=278295 PavelKhvalov - обратите внимание на раздел [User Configuration\Administrative Templates\Windows Components\Windows Explorer \Common Open File Dialog] в этом документе) с режимом замыкания (http://support.microsoft.com/?kbid=231287). Там же сказанои про отключение доступов.
- Линкуем эту GPO к OU терминального сервера
- Добавляем машинный account TS в security list GPO
- Создаём для пользователей терминала свою группу, либо используем стандартную Remote Desktop Users, добавляем туда пользователей терминала, добавляем эту группу в security list GPO TS. Если оставить "Authentificated Users", то в терминал можно будет всем пользователям домена.
- Запрещаем применение GPO TS для администраторов (http://support.microsoft.com/?kbid=816100)
- Отбираем у пользователей терминала права Domain Users - сеть уже будет защищена, но этого не достаточно. Если отбираете Domain Users - нужно будет соответственно это учесть при настройке локальных прав NTFS на TS.
- Ещё дополнительное решение - скрываем серверы сети (http://support.microsoft.com/kb/321710). Тоже недостаточно.
- Ещё - все расшаренные ресурсы делаем скрытыми (http://go.microsoft.com/fwlink/?LinkId=18403)
- Вот зубодробительный метод - читаем KB246261 и отменяем включённый по умолчанию доступ ко всем ресурсам, кроме явно разрешённых. В сеть уже не пробьёшься. На деле метод не всегда применим, зависит от ролей сервера - читайте статью подробнее.
- Защита от хитрых пользователей, умеющих запускать программы через Word, меню и т.д. http://support.citrix.com/article/CTX991230&printable=true
- Маньячный уровень защиты см. How To Use ResHacker To Secure Your Terminal Server Environments

PavelKhvalov и SeT - всё, что вы описывали, можно реализовать, прочитав вышеприведённый материал, плюс:
- Locking Down Windows Server 2003 Terminal Server Sessions - самое серьёзное и полезное руководство по обеспечению безопасности TS
- Полное руководство по терминальным службам Windows Server 2003
- Securing Windows 2000 Terminal Services
- Windows Server 2003 Terminal Server Security

есть путь гораздо проще. локальный фаервол с запароленными настройками
открыт порт входа терминальной сессии. закрыты исходящие соедниения в локальную сеть.
все.

shev2k
Файрволом не ограничишь избирательно доступ к расшаренным ресурсам. А если закрыть "исходящие соединения в сеть", то какой тогда толк от такого сервера?!

HKEY_CLASSES_ROOT\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}
Убираем права на данную ветку реестра и исчезает закладка Sharing (Доступ)

MoonAngel аааа....пасиб работает!!!!! Правда я просто удалял эту ветку!

Создал файл реестра DelSharing.reg
С содержимым:

REGEDIT4

[-HKEY_CLASSES_ROOT\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}]

Цитата:

аааа....пасиб работает!!!!! Правда я просто удалял эту ветку!

А зачем?
Отбираешь права и даешь только админу домена.

Правда net share еще ни кто не отменял =)

А как отобрать права на ВСЕХ компах домена у DomainUsers? Чтобы не править руками реестр на каждом компе? Может через политику или сценарий?

а если я админ домена в каком 250 компов, я могу с помощью GPO запретить доступ для 50 пользователей?

Добавлено:
Как зафиксировать за каждым компом свой ИП адрес?
Например: если у пользователя прописан ИП 10.42.32.10 и он сам пропишит себе 10.42.32.11 то у него сеть работать не будет. Как это зделать?

Dev_Dimon
права чтобы могли шарить чтоли?!


на тебе вбсник...если че не понятно там ссылка в теле вбсника

Чтоб шарили...
_____________________________________________________________________________


'http://www.microsoft.com/technet/scriptcenter/scripts/os/registry/default.mspx?mfr=true
'Создание ветки реестра

Const HKEY_CLASSES_ROOT = &H80000000

strComputer = "."

Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\default:StdRegProv")

strKeyPath = "CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32"
oReg.CreateKey HKEY_CLASSES_ROOT,strKeyPath
'Ветка создана


'Создание Параметров ветки

'Const HKEY_CLASSES_ROOT = &H80000000

strComputer = "."

Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" & _
strComputer & "\root\default:StdRegProv")

strKeyPath = "CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32"

'Создание REG_SZ
strValueName = "ThreadingModel"
'Ставим параметр REG_SZ в strValueName
strValue = "Apartment"
'Ставим значение REG_SZ в strValueName

oReg.SetStringValue HKEY_CLASSES_ROOT,strKeyPath,strValueName,strValue
'REG_SZ создано


strKeyPath = "CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32"

'Создание REG_SZ
strValueName = ""
'Ставим параметр REG_SZ в strValueName
strValue = "ntshrui.dll"
'Ставим значение REG_SZ в strValueName

oReg.SetStringValue HKEY_CLASSES_ROOT,strKeyPath,strValueName,strValue
'REG_SZ создано


'Создание REG_DWORD
'strValueName = "DWORD Value Name"
'dwValue = 82
'oReg.SetDWORDValue HKEY_CLASSES_ROOT,strKeyPath,strValueName,dwValue


__________________________________________________________________________

Чтоб не шарили
__________________________________________________________________________

'http://www.microsoft.com/technet/scriptcenter/scripts/os/registry/default.mspx?mfr=true

Const HKEY_CLASSES_ROOT = &H80000000
Const HKEY_CURRENT_USER = &H80000001
Const HKEY_LOCAL_MACHINE = &H80000002
Const HKEY_USERS = &H80000003

strComputer = "."
strKeyPath = "CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"
'вставляем значение ветки которое нужно удалить

Set objRegistry = GetObject("winmgmts:\\" & _
strComputer & "\root\default:StdRegProv")

DeleteSubkeys HKEY_CLASSES_ROOT, strKeypath
'Исправляем на нужные значения HKEY_CLASSES_ROOT

Sub DeleteSubkeys(HKEY_CLASSES_ROOT, strKeyPath)
objRegistry.EnumKey HKEY_CLASSES_ROOT, strKeyPath, arrSubkeys

If IsArray(arrSubkeys) Then
For Each strSubkey In arrSubkeys
DeleteSubkeys HKEY_CLASSES_ROOT, strKeyPath & "\" & strSubkey
Next
End If

objRegistry.DeleteKey HKEY_CLASSES_ROOT, strKeyPath
End Sub

__________________________________________________________________________

Добавлено:
DEMON87

А GPO для чего? Сделай OUшку и затолкай туда только 50 юзероф!

Ээээ...а DHCP не пробовали юзать для раздачи ипоф?! И той же ГПО запретить вообще лазить в сетевый настройки!

На w7 кто нить писал вбсник по запрету шар?