День добрый! Дело собственно вот в чем: на сервере поднят контролер домена и терминал сервер, всем терминальным пользователям надо максимум ограничить права. Так вот хоть убей но не могу найти где закрыть доступ к просмотру компьютеров локальной сети, вообще ограничить доступ к локалке через GPO.


Сервер win 2008 R2, роли: КД, терминал сервер, DNS, сервер лицензирования терминальных пользователей.

где закрыть доступ к просмотру компьютеров локальной сети »отключить на ВСЕХ серверах/станциях службу "Обозревателя", а что значит "вообще ограничить доступ к локалке"?.. как тогда подключаться к терминал-серверу?

Зачем нужен сервер терминалов на DC ? Windows поддерживает 3 сеанса для администрирования (1 локальный 2 удаленных) без роли сервера терминалов. А пускать пользователей на контроллер домена, мягко говоря, не правильно.
Ограничить доступ сервера к локалке можно например вынеся его за брандмауэр в зону периметра (DMZ) (обычно это конечно с целью ограничения доступа к серверу из локалки делается). Для этого можете использовать MS Forefront TMG (или, как Вам бы посоветовала cameron, ISA Server).
Вы можете выделить для сервера отдельный VLAN (http://ru.wikipedia.org/wiki/VLAN), если конечно имеется соответственное оборудование.
Ну и худший вариант - запретить работу служб(закрыть порты), которых вы посчитаете ненужными,а может применить политику "все что не разрешено- запрещено", что будет правильнее, каким-нить брандмауэром на этом же сервере, с учетом того что прав обычного пользователя не должно хватать на изменение конфигурации брандмауэра (рассматриваю такой вариант, исключительно потому что уже и так все сделано через .....)

Valik87,
конфигурация пользователя - административные шаблоны:
- компоненты Windows/проводник Windows
- Меню «Пуск» и панель задач
- Рабочий стол

в этих разделах есть необходимые вам пункты.
советую на будущее более внятно излагать свои пожелания, вас сложно понять.

как Вам бы посоветовала cameron, ISA Server). »
у вас ко мне странная любовь

у вас ко мне странная любовь »
Строите проекцию? даже не надейтесь, скорее к Кади :)

Чтобы закрыть доступ к сети (обозреватель) - отключи NetBIOS. (Тут конечно продвинутые могут по ip зайти... но расшарить с знаком $ тоже может помочь) Либо служба обозреватель.

Чтобы ограничить доступ к локалке (localhost) для пользователей терминала... включи автозапуск программы (например 1С)...только зарание настрой принтеры...сканеры.. и т.д.т.п.

Удачи..

Зачем нужен сервер терминалов на DC ? »

Вобще сервер для терминальных пользователей которые работают с 1С, а DC поднят для удобства настройки рабочего пространства пользователя на сервере. Надо максимально обезопасить базу 1С от копирования, ну и чтоб пользователи меньше навредили системе. По этому подымается контролер домена, создается подразделение в которое переносятся все юзеры, работающие с программой, и для этого подразделения настраивается GPO.


конфигурация пользователя - административные шаблоны:
- компоненты Windows/проводник Windows
- Меню «Пуск» и панель задач
- Рабочий стол »

это все настраивал, походу как-то не сразу применялись политики, позже заработало все!!!

это все настраивал, походу как-то не сразу применялись политики, позже заработало все!!!

политика применяется в течении 90 мин... или после захода пользователя (для пользовательской GPO)

политика применяется в течении 90 мин... »

я обновлял через gpupdate, и перезаходом пользователя

Молодцом))

Для начала я бы советовал развести разные задачи по разным серверам. Тем более сервак с ролью DC вообще крайне не желательно грузить чем либо, тем более терминалом с 1С. Если в 1С работает хотя бы 10 юзеров, то когда они разом начинают делать выгрузки в Exel, то не очень мощный сервак запросто может сойти с ума со всеми отсюда вытекающими последствиями (это из собственного опыта). Я бы предложил поднять виртуальные машины (Hyper-v, ESXi и т.д., что для вас удобнее). Для нормальной работы DC вполне достаточно 1Gb оперативы и одного виртуального процессора (опять же из собственного опыта) а на втором виртуальном серваке поднять терминалы и отдать ему оставшиеся ресурсы (я надеюсь, у вас не 1.5 Gb оперативы :). Тогда и не будет необходимости хранить базу в сети. А для того, чтоб закрыть доступ для юзеров, дайте им права гостя, разрешите запуск только 1С и поэксперементироуйте с вкладкой "Безопасность". Там можно запретить просмотр содержимого папки, но при этом сохранить возможность чтения/записи, а из сети вообще закрыть доступ к папки с базой, например, отключив системную шару диска, где лежит база (Мой компьютер правой кнопкой, Управление, Общие папки.)