Alan Mon
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору leputain SYSVOL конечно важная папка, но права на нее выставлены по умолчанию как и на все системные папки - ReadOnly. Поэтому не вижу смысла переносить ее куда либо. А если уж переносить, то NTDS, ИМХО, гораздо важнее. WolfEnstein Создаешь новый GPO и импортируешь в него шаблон следующего содержания: Код: CLASS USER CATEGORY !!Shell CATEGORY !!Restrictions KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\Explorer POLICY !!HideDrives PART !!HideDrives_Tip1 NUMERIC VALUENAME "NoDrives" DEFAULT 0 END PART PART !!HideDrives_Tip2 TEXT END PART PART !!HideDrives_Tip3 TEXT END PART PART !!HideDrives_Tip4 TEXT END PART PART !!HideDrives_Tip5 TEXT END PART END POLICY ; HideDrives POLICY !!NoViewOnDrive PART !!NoViewOnDrive_Tip1 NUMERIC VALUENAME "NoViewOnDrive" DEFAULT 0 END PART PART !!HideDrives_Tip2 TEXT END PART PART !!HideDrives_Tip3 TEXT END PART PART !!HideDrives_Tip4 TEXT END PART PART !!HideDrives_Tip5 TEXT END PART END POLICY ; NoViewOnDrive END CATEGORY END CATEGORY ; Shell [strings] Shell="Оболочка" Restrictions="Ограничения" DisableRegedit="Сделать недоступными средства редактирования реестра" HideDrives="Скрытие дисков в 'Explorer'" HideDrives_Tip1="Маска скрытия дисков:" HideDrives_Tip2="Младшие 26 бит отвечают за скрытие дисков" HideDrives_Tip3="(0-диск A, 1-диск B, и т.д. до 25-диск Z)," HideDrives_Tip4="при установки бита в 1 диск скрывается." HideDrives_Tip5="Число записывается в десятичной форме!!!" NoViewOnDrive="Запрет дисков в 'Explorer'" NoViewOnDrive_Tip1="Маска запрета дисков:" | Если твой терминальный сервер НЕ является контроллером домена, создаешь для него отдельный OU, переноcишь его туда и подключаешь этот GPO. Если он - контроллер домена, просто добавляешь этот GPO к списку групповых политик OU "Domain Controllers". У тебя в "Конфигурация пользователя\Административные шаблоны" появится "Оболочка\Ограничения" с двумя пунктами: "Скрытие дисков Explorer" и "Запрет дисков Explorer". Там настраиваешь, что нужно. Но это работает только на Explorer. Поэтому нужно еще запретить cmd.exe, пункт "Выполнить" из меню "Пуск", любые файловые менеджеры. И все равно при большом желании пользователь сможет их увидеть (например положив в свою папку far.exe и запустив его оттуда). Поэтому я и писал, что надежно не скроешь. Теперь на терминальном сервере в папке "WINNT\Application comptibility scripts" создаешь файл (если его там нет) rootdrv2.cmd (именно с таким названием) из одной строки: Код: Буква может быть любая. Это создаст логический диск с профилем пользователя. Далее, в System32 создаешь файл usrlogn1.cmd (именно с таким названием) и пишешь в него команды типа: Код: subst U: C:\Data subst V: C:\Data1 | и т.д. Каждая строка создает логический диск, который смотрит туда, куда тебе надо. Доступ пользователей к Winnt, Program files и т.д. сохраняется, можно в командной строке написать "C:\Program files\...\...\<>.exe" и приложение запустится, но в explorer, по всяким кнопкам "Обзор" и т.д. дисков видно не будет. |