Есть Windows Server 2008 R2 с ролью Служб удаленных рабочих столов (Сервер терминалов). С него есть доступ в разные сетевые папки на других серверах и на диски пользователей, подключенных по RDP, через \\tsclient.

На сервере нужно запретить запись данных в сеть, чтобы не было утечки информации. При том читать из сети возможность нужно оставить. Запрет на запись в сеть должен быть независимым от настроек тех серверов, на которые пытаются записать.

То есть если человек пытается записать что-то в папку на удаленном сервере

\\server_smb\share\
или
\\tsclient\d

то должна сработать блокировка на нашем сервере, с которого пытаются осуществить запись.

Если с тех же папок пытаются что-то прочесть, то должно быть все как обычно. Конечно, если на удаленном сервере есть разрешения.

Знает ли кто решение этой проблемы?

Конечно есть решение.
Два разных логина на одного пользователя. Один для обычной работы, второй для RDP. Права раздать соответственно.

Проблема в том, что пользователи подключаются к серверу только по RDP. То есть сейчас у пользователя есть возможность читать и писать в папки типа

\\server_smb\share\
и
\\tsclient\d

Нужно оставить только чтение с этих папок. Причем независимо от настроек на удаленной стороне. Если на той стороне разрешена запись, то у нас должна сработать блокировка на запись в такие папки.

Для чего в таком случае вообще разрешать пользователям маппировать локальные диски в терминальную сессию?

Чтобы с них можно было что-то прочитать. А вообще это к руководству - зачем :) Поставили задачу, вот и ищу решение.

Нужно оставить только чтение с этих папок. Причем независимо от настроек на удаленной стороне. »Ну, независимо, вероятнее всего, не получится.
Решение, которое видится, заключается в том, чтобы тем или иным способом (сценарием, например) изменять SMB-разрешения соответствующих ресурсов при начале/завершении сеанса.
Суть изменения - добавлять в ACL/удалять из ACL запись типа ЗАПРЕТ (ACCESS_DENIED_ACE_TYPE) с маской доступа 0x40000000 (GENERIC_WRITE) для конкретного пользователя (группы пользователей).

Решение, которое видится »

Благодарю, есть о чем подумать, жаль, что без независимости. Но это в отношении "обычных" сетевых шар и, как я понял, только на основе NTFS под Windows. Для Samba надо как-то иначе, но похоже, что-то подобное, раз уже не независимо.

А как быть в отношении RDP-дисков? Особенно если человек подключается с Win98 или Linux, где нет NTFS-разрешений?

Маппирование дисков в RDP сессию легко запрещается политиками терминального сервера.

Маппирование дисков в RDP сессию легко запрещается политиками терминального сервера. »

Это если совсем закрыть доступ. А как оставить только для чтения?

Речь шла хотя и о Windows, но вовсе не о безопасности NTFS, а именно о разрешениях на доступ к общему ресурсу.
Про Win98 и *nix - ничего не скажу (первое давно забыто, со вторым не работаем).
В любом случае данный метод годится только в том случае, когда управление доступом предполагает и разрешающие, и запрещающие записи с преобладанием приоритета запрета над разрешением.