Терминальный сервер: скрыть диски сервера от пользователей - [1] :: В помощь системному администратору

leputain
SYSVOL конечно важная папка, но права на нее выставлены по умолчанию как и на все системные папки - ReadOnly. Поэтому не вижу смысла переносить ее куда либо. А если уж переносить, то NTDS, ИМХО, гораздо важнее.

WolfEnstein
Создаешь новый GPO и импортируешь в него шаблон следующего содержания:

Код:

CLASS USER

CATEGORY !!Shell
CATEGORY !!Restrictions
KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

POLICY !!HideDrives
PART !!HideDrives_Tip1 NUMERIC
VALUENAME "NoDrives"
DEFAULT 0
END PART
PART !!HideDrives_Tip2 TEXT END PART
PART !!HideDrives_Tip3 TEXT END PART
PART !!HideDrives_Tip4 TEXT END PART
PART !!HideDrives_Tip5 TEXT END PART
END POLICY ; HideDrives

POLICY !!NoViewOnDrive
PART !!NoViewOnDrive_Tip1 NUMERIC
VALUENAME "NoViewOnDrive"
DEFAULT 0
END PART
PART !!HideDrives_Tip2 TEXT END PART
PART !!HideDrives_Tip3 TEXT END PART
PART !!HideDrives_Tip4 TEXT END PART
PART !!HideDrives_Tip5 TEXT END PART
END POLICY ; NoViewOnDrive

END CATEGORY
END CATEGORY ; Shell

[strings]
Shell="Оболочка"
Restrictions="Ограничения"
DisableRegedit="Сделать недоступными средства редактирования реестра"
HideDrives="Скрытие дисков в 'Explorer'"
HideDrives_Tip1="Маска скрытия дисков:"
HideDrives_Tip2="Младшие 26 бит отвечают за скрытие дисков"
HideDrives_Tip3="(0-диск A, 1-диск B, и т.д. до 25-диск Z),"
HideDrives_Tip4="при установки бита в 1 диск скрывается."
HideDrives_Tip5="Число записывается в десятичной форме!!!"
NoViewOnDrive="Запрет дисков в 'Explorer'"
NoViewOnDrive_Tip1="Маска запрета дисков:"

Если твой терминальный сервер НЕ является контроллером домена, создаешь для него отдельный OU, переноcишь его туда и подключаешь этот GPO. Если он - контроллер домена, просто добавляешь этот GPO к списку групповых политик OU "Domain Controllers". У тебя в "Конфигурация пользователя\Административные шаблоны" появится "Оболочка\Ограничения" с двумя пунктами: "Скрытие дисков Explorer" и "Запрет дисков Explorer". Там настраиваешь, что нужно. Но это работает только на Explorer. Поэтому нужно еще запретить cmd.exe, пункт "Выполнить" из меню "Пуск", любые файловые менеджеры. И все равно при большом желании пользователь сможет их увидеть (например положив в свою папку far.exe и запустив его оттуда). Поэтому я и писал, что надежно не скроешь.
Теперь на терминальном сервере в папке "WINNT\Application comptibility scripts" создаешь файл (если его там нет) rootdrv2.cmd (именно с таким названием) из одной строки:

Код:

SET RootDrive=W:

Буква может быть любая. Это создаст логический диск с профилем пользователя.
Далее, в System32 создаешь файл usrlogn1.cmd (именно с таким названием) и пишешь в него команды типа:

Код:

subst U: C:\Data
subst V: C:\Data1

и т.д. Каждая строка создает логический диск, который смотрит туда, куда тебе надо.
Доступ пользователей к Winnt, Program files и т.д. сохраняется, можно в командной строке написать "C:\Program files\...\...\<>.exe" и приложение запустится, но в explorer, по всяким кнопкам "Обзор" и т.д. дисков видно не будет.

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4