Убрать все диски сервера из Моего компьютера на терминалах

[grindars]

Сабж. WTWARE последней версии, тестовая лицензия (пока тестирую, решаю покупать/не покупать). Особенно желательно убрать CDROM/FLOPPY сервера и вместо них поставить FLOPPY терминала (желательно с тем же значком и подписью (не все знают юзеры английский ))

[aka]

В общем случае это невозможно. И втварь здесь бессильна, это настройка сервера.

В реестре есть ключ, скрывающий некоторые диски из Проводника. Название не помню? вот статья про то же через политики: http://support.microsoft.com/kb/q231289/ Но Far или total comander диски продолжает видеть в любом случае.

[grindars]

В общем случае это невозможно. И втварь здесь бессильна, это настройка сервера.

Я знаю, поэтому и запостил в раздел о терминальных серверах

В реестре есть ключ, скрывающий некоторые диски из Проводника. Название не помню? вот статья про то же через политики: http://support.microsoft.com/kb/q231289/

А это вроде как действует на всех пользователей? Мне надо скрыть диски только от пользователя NetBoot

Но Far или total comander диски продолжает видеть в любом случае.

Это не проблема, все равно не поставят у терминалов только floppy

[Ejean]

Могу конечно ошибаться, но на сколько я знаю, можно отключить политикой доступ к сменным дискам сервера. Но только ВСЕМ терминальным пользователям!

[Andrey]

Политики можно применять к отдельным пользователям и группам, так что сделать свои настройки только для бездисковых терминалов не проблема. Другое дело, что политики, как правило, всего лишь закрывают отдельные части пользовательского интерфейса (например, убрать диски из папки "Мой компьютер"), и поэтому достаточно легко обходятся даже неискушенными пользователями при помощи того же Far'а. Лично у меня, чтобы не пугать пользователей диском A:, на терминальном сервере вообще запрещено устройство Floppy Disk Controller.

[ren33]

делай все обрезания программой XP Tweaker там все очень просто

[simapupkin]

А почему просто не запретить доступ к дискам (кроме С: конечно)???
Для NTFS конечно.
Свойства диска - безопасность.

[alexps70]

А почему просто не запретить доступ к дискам (кроме С: конечно)???
Для NTFS конечно.
Свойства диска - безопасность.

самое то и для С - но только надо запретить доступ к корню диска, а к папкам разрешить.(муторно и долго) Просто проводник(да и любой файловый менеджер) доступа не получит - отказ в доступе, а из юзеров мало кто догадается написать полный путь в адресной строке

[Гость]

А это дело можно можно ярлыками разрулить.

[alexps70]

За счет ярлыков юзер и сможет что-то запускать с диска, а вот проводником или файл-менеджером(который по умолчанию ломиться в корень) посмотреть не сможет(если не особо умный)

[AlexM]

Если надо ограничить пользователя, то можно ограничить запуск программ по определнным путям. Например запретить запускать все программы на рабочем столе, в профиле, на диске Д или на СД-РОМ, или на любом другом пути. Причем можно настроимть как на терминальном, так для локальных компов в домене. Проверено...
настраивается в Административных шаблонах -> Конфигурация windows --> Параметры безопасности --> Политики ограниченного использования программ.
Пробуем и наслаждаемся

[alexps70]

.....Особенно желательно убрать CDROM/FLOPPY сервера и вместо них поставить FLOPPY терминала (желательно с тем же значком и подписью (не все знают юзеры английский ))

Отключаешь эти устройства на сервере (в частности, флоп), юзеру в логон скрипте прописываешь "net use a: \\tsclient\floppy" - вместо диска А сервера у пользователя будет флоп терминала, только надо будет их натренировать подключать/отключать диск через меню(wtware) в правом нижнем углу. Одна заморочка - данный диск сетевой по сути, и некоторые программы, требующие физического флопа, с ним не работают.

[Ejean]

В w2k3 есть политика ограниченного использования программ... Всё замечательно кроме одного - уж очень ресурсоёмкая эта фича...

[AlexM]

В w2k3 есть политика ограниченного использования программ... Всё замечательно кроме одного - уж очень ресурсоёмкая эта фича...

Я про нее и писал.. А как ты определил, что она ресурсоемкая?

[Ejean]

из практики!
Ставил в двух конторах в которых ОЧЕНЬ любили всякую хрень скачивать и запускать. Но к сожалению запуск программ и открытие документов РЕЗКО замедлилось.
Об этом недостатке также написано в HELP системы и на Microsoft.

[Sanek]

AlexM это я....
Я в общем-то тормозов каких-либо не заметил. Если сервер хороший иметь в наличии, конечно. у меня там штук 20 пользователей сидят. Может быть немного, но тормозов пока нет. Зато так приятно иногда видеть, как программа, особая программа, анализирует логи и оповещает тебя о том или ином событии произошедшем на терминальном сервере всплывающей подсказкой, например попытки запуска пользователем "ограниченных программ", со всеми путями. Вот так и боремся с народом, без конца пробующим тот или иной мелкий игровой софтец ...

[RAN]

Не вдаваясь в подробности вот вариант, который я сделал для пользователей бездисковых терминалов:
Если у ваc Active Directory, то то можно создать контейнер, в него поместить группу терминальных пользователей, создать для контейнера Групповую политику, в которую добавить скрытие дисков. Для этого делаем, например в блокноте, администрат. шаблон, и сохраняем этот документ с расширением .adm

Вот простой пример подобной записи:

CLASS USER

CATEGORY !!Hide
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"

POLICY !!HideDrives
PART !!Namelist DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!C VALUE NUMERIC 4
NAME !!D VALUE NUMERIC 8
NAME !!E VALUE NUMERIC 16
NAME !!DE VALUE NUMERIC 24
NAME !!CDE VALUE NUMERIC 28
NAME !!NOHide VALUE NUMETRIC 0 DEFAULT
END ITEMLIST
END PART
END POLYCY

[Strings]
Hide="Скрытие дисков"
HideDrives="Скрытие дисков"
Namelist="Отключить видимость в проводнике"
C="Скрыть только С"
D="Скрыть только D"
E="Скрыть только E"
DE="Скрыть DE"
CDE="Скрыть CDE"
NOHide="Не ограничивать видимость дисков"

Подробней здесь http://www.osp.ru/text/302/177316/
и выше(смотрите второй пост от AKA)

Ложим этот файл в папку ....Windows\inf, ну где операционка находится.

Дальше открываем политику для созданного контейнера, нажимаем Изменить, там правой кнопкой на Административных шаблонах, Добавление или удаление шаблона, Добавить, далее выбираем созданный нами файл, жмем добавить. После этого в административных шаблонах появится пункт скрытия дисков. Можно так же их запретить, для этого посмотрите пример в папке C:\WINDOWS\SYSVOL\sysvol\имя домена\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\Adm, файл кажется system.adm.
Ну и понятно что {6AC1786C-016F-11D2-945F-00C04fB984F9} это имя политики, но вам оно ничего не скажет, чтобы посмотреть какую шифровку имеет нужная вам политика, нужно использовать утилиту винды, для чего нужно в Пуск-Выполнить набрать ADSI.MSC, там все можно глянуть. Если у вас она не заработает, то поставте расширеные средства администрирования с установочного диска винды.

Дальше, чтобы не обидить юзеров, и чтобы меньше они пытались добраться до настоящих дисков, можно сделать так:

в System32 создаем файл с названием Usrlogn.cmd, в него добавляем запись типа:

subst G: E:\\Data1
subst H: E:\\Data2

Эта запись будет означать что пользователь, залогинившись к вашему серверу терминалов будет видеть два диска локальных диска Н и G, которые на самом деле папки на диске Е:

Итог всего выше сказанного будет таким: пользователь заходит на компьютер в терминальном режиме, и видит два диска G и H, больше ничего не видет.

Эта штука у меня работает на Win2003Server, который есть Контроллером домена и сервером терминалов. И еще раз повторяю, как сказал выше господин AKA, этот метод не защищает диски, а только скрывает их от пользователя.

http://support.microsoft.com/kb/325351/ru - это еще некоторая инфа по запрету на использование дисков. Ну вобщем уже у вас есть с чего начать .

[Soft_warrior]

Access-based Enumeration Access-based Enumeration is a new feature included with Windows Server 2003 Service Pack 1.
This feature allows users of Windows Server 2003-based file servers to list only the files and folders to which they have access when browsing content on the file server. This eliminates user confusion that can be caused when users connect to a file server and encounter a large number of files and folders that they cannot access.
общий смысл - только в SP1 и выше.
юзер не видит те папки на которые у него здоровья и прав не зватает.
все вроде-бы понятно.
не пробовал - сам нашел только сегодня.
находится на майкрософт сайте, бесплатна, только англицкая вроде.
но это какбы не помеха.

[RAN]

Интересно, ссылочку бы еще...

[Soft_warrior]

Интересно, ссылочку бы еще...

поиск рулит.....
в макросовте набрать первых три слова
http://www.microsoft.com/downloads/deta ... laylang=en

результаты тестирования сообщишь?

[UserK]

Делюсь опытом:
1. На терминальный сервер ставится XPTweaker.
2. Создается новый пользователь с правами админа, ему ставится разрешение на терминальный доступ и все другие "виндовые настройки".
3. Заходим под этим пользователем, либо на сервере либо через терминал.
4. Запускаем XPTweaker, убираем все диски из проводника, переносим "мои документы" на сервер, подключаем серверную папку в виде диска, убираем из меню "пуск" выполнить, поиск и т.д. заперщаем правую кнопку. Запрещаем рабочий стол. Программа позволяет запретит практически все.
5. Перезагружаемся "администратором", удаляем права админа у терминального пользователя.
6. Редактируем C:\Documents and Settings\терминальный_пользователь\Главное меню\. Из него надо обезательно удалить группу "XPTweaker"
7. Редактируем C:\Documents and Settings\All Users\Главное меню
чоб не было в меню "пуск" у терминального пользователя всяких ему не нужных вещей
8. Заходим под терминальным пользователем, проверяем.
9. Жизнь админа удалась

[Andrey]

Господа админы, и давайте всё-таки доки читать, а? gpedit.msc самый лучший твикер, к тому же с подробной документацией от производителя операционки. А если его ещё скомбинировать с AD, так вообще песня.

P.S. Любая программа, которая захочет сама проверить, какие диски есть в системе, легко обнаружит все "спрятанные" диски. За три года у меня ни разу не было проблем с пользователями из-за того, что они видят диск C:. Они не могут туда писать, и он им совершенно не интересен

[aka]

+1 насчет "не было проблем из-за того, что они видят диск С". Может они даже на нем и копаются, когда админ не видит Прав изменить и тем самым испортить что-то важное у них нет по дефолту.

[Soft_warrior]

2 Andrey +1
а win+R она тоже уберет? если только explorer не грузить а какойто свой сшелл или нужную сразу программу.
тяжелее заблокировать ctrl+alt+end в терминале.
я как то в институте сделал реестровый файлик для отключения таких твиков и всевозможных сокрытий - пишется в блокноте.
точнее было их 2 - один выключает, другой включает обратно на место.
наверное нужно еще и реестр в необходимых местах от изменений защитить правами.

[Andrey]

Сочетания клавиш Win+<key>, насколько я знаю, обрабатывает explorer.exe. Нет его --- нет системных сочетаний клавиш.

наверное нужно еще и реестр в необходимых местах от изменений защитить правами.

По умолчанию защита реестра правами сделана весьма грамотно. Я ни разу не смог обычным пользователем залезть в HKLM и что-то испортить, хотя и пытался . Скорее, были обратные проблемы с программами, которые всё-таки хотели туда писать, здесь приходится добавлять разрешения. Настройки, которые лежат в HKCU и могут быть изменены пользователем, во-первых, не позволяют лезть внутрь системы и портить её, и, во-вторых, через короткое время при синхронизации Group Policy, будут возвращены на место.

В общем, Group Policy Management в Active Directory рулит.