Имеется Windows 2003 Server (с TS и AD). Как запретить прямой доступ к файлам для пользователей? Т.е. чтоб только через "1С Предприятие" могли данные изменять, а через проводник доступа не имели.

dascon, делаешь доступ к папке системным ($), в 1С путь к папке с базой указываешь его же (\\server\base1c$\Accnt\), в разрешениях на вкладке "Безопасность" указываешь пользователей...

Не подходит, пользователи работают на сервере терминалов и возможность манипулировать файлами напрямую, в обход 1с, остается.
Я представлял себе решение следующим образом. У пользователей нет доступа к папке с базами. Создается юзер у которого эти права есть (1c_user). И 1С запускается от имени этого 1c_user. Но не знаю как прописать это все в ярлык, т.к. пароль в ярлыке не запоминается.

если в терминале работают только с 1С, то можно строго указать "При запуске загружать программу 1С", там же в настройке терминала можно указать под каким профилем заходить, а если БД 1С одна, то можно указать параметр загрузки сразу в базу, а если поднят домен, то все можно организовать для каждой учетки или группы пользователей в AD...

Создается юзер у которого эти права есть (1c_user). И 1С запускается от имени этого 1c_user.
Нехорошо. При таком раскладе в 1С юзер сделает что-нибудь, типа, сохранить или открыть и получит окошко проводника в котором сможет и создавать, и удалять, и по папкам шарить.

если в терминале работают только с 1С
не только, хотя если это единственное решение, то можно попробовать
если поднят домен, то все можно организовать для каждой учетки или группы пользователей в AD...
домен поднят, только я в нем не сильно разбраюсь. Ща потыкаюсь, может получится чего.
Angry Demon,
Нехорошо...
согласен... :)

не только »
много приложений используются в терминале?

dascon,
создай батник:
runas /user:1c_user /savecred
один раз введешь пароль, остальные будет запус с указанным пользователем без ввода пароля.
но вот если неошибаюсь то всем придется по одному разу, но вводить его.

много приложений используются в терминале?
как минимум: Word, Excel, 1c, Консультант

как минимум: Word, Excel, 1c, Консультант »
а как же:
только через "1С Предприятие" могли данные изменять »
ну если надо, то как вариант на каждое приложение создавать терминальное подключение, т.е. прописываешь логин и пароль (вложение terminal.jpg) и указываешь какую прогу запускать (вложение proga.jpg)

Можно запретить отображение/доступ к файлам на локальных дисках + скрыть локальные диски, а если нужно, что то редактировать, то подключить диском через шару к этому же серверу.

Можно запретить отображение/доступ к файлам на локальных дисках + скрыть локальные диски
а как это сделать?

как вариант на каждое приложение создавать терминальное подключение, т.е. прописываешь логин и пароль (вложение terminal.jpg) и указываешь какую прогу запускать
у юзера остается возможность запускать Диспетчер задач, а из него и любое приложение. Как с этим быть?

Можно запретить отображение/доступ к файлам на локальных дисках + скрыть локальные диски
а как это сделать? »
Скрытие локальных дисков проводится через ветки реестра (http://www.online-tech-tips.com/computer-tips/how-to-create-an-invisible-hidden-drive-in-windows/ru/) или почитать здесь (http://www.winblog.ru/2006/05/12/ippon_120506_02.html). НО: скрытие произойдет, по моему, только в проводнике, в FAR и ему подобных все будет видно. Ну и еще одна ссылочка (http://forum.xakep.ru/text/default.aspx?ID=1067363&type=topic)

у юзера остается возможность запускать Диспетчер задач, а из него и любое приложение. Как с этим быть? »
Запретить через групповые политики запуск диспетчера задач.
Реестр: [HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\ CurrentVersion\Policies];
Для включения Менеджера задач: "DisableTaskMgr"=dword:00000000.

у юзера остается возможность запускать Диспетчер задач »
это каким образом с такого способа подключения остается возможность запускать диспетчер задач? :dont-know

это каким образом »

Ctrl+Shift+Esc - Диспетчер задач. А после редактирования реестра уже не получится :)