Есть терминальный сервер (Win 2008), на нём 1с, к нему ломится толпа юзеров. Когда юзеры заходят видят перед собой только 1с. И всё бы хорошо, но они могут через файл/открыть получить доступ к проводнику и через него смотреть и удалять все системные файлы и прочее.
В этой ситуации видим 2 выхода:
1. Запретить запуск эксплоер.ехе и прочих программ кроме 1с (но не комильфо, проводник может понадобится)
2. Запретить доступ к системным папкам и прочим папкам, но нужно что бы была возможность запускать 1с из программфайлс и хранить каталог временных файлов.
Но что-то не можем догнать как правильно реализовать ни один из пунктов.

в атрибутах файлов, сделай их скрыми. ...или же в "безопасности" добавь юзеров которым можно... всем остальным нельзя ) ч-з ГПО или локальные политики безопасности.
в общем погрызи ГПО, если есть КД.

Запретить запуск эксплоер.ехе и прочих программ кроме 1с
Блокировка приложений с помощью политик ограниченного использования программ (http://www.oszone.net/7183)

проводник может понадобится
Для проводника есть политики в Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Проводник ->
Скрыть выбранные диски из окна "Мой компьютер"
Запретить доступ к дискам через "Мой компьютер"

Что такое "могут удалять все системные файлы"? То есть, у вас пользователи обладают привилегиями Администратора?

У меня так же но программа другая. Юзеры заходят видят диски но ничего сделать не могут. Только с разрешенной папкой на сервере на диске D: могут играться. Поставь разрешения только на одну папку а для остальных сними в безопасности Юзера. Хотя в винде по дефолту юзер ничего не может практически делать.

Из моей практики: пользователям для работы в 1с, необходим расширенный доступ только на папку с базой.
На остальные каталоги и файлы я выставлял разрешения чтение и выполнение, в вашем случае выполнение можно убрать.

Насколько я знаю, можно сделать так, чтобы подключаясь к серверу, можно пользователю закрыть все, открыв только значек мой компьютер, в котором диск пользователя с квотой 500 мб или 1 Гб или больше если надо и ярлык на нужную программу на рабочем столе, остальное все закрыто. Только как это сделать я не помню уже. Щас изменилось все... Если кто знает может описать.- но такое решение есть 100 %

Всем спасибо за советы, получилось так:
1. Юзерам по умолчанию закрыт доступ к системным файлам (проглючило меня)
2. А запуск приложений можно ограничить через локальные политики безопастности (Start –> Run… –> secpol.msc –> Политики управления приложениями –> AppLocker –> Исполняемые правила

Petya V4sechkin,
Для проводника есть политики в Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Проводник ->
Скрыть выбранные диски из окна "Мой компьютер"
Запретить доступ к дискам через "Мой компьютер" »

на днях потребовалось на терминальном сервере - win2008 R2 - с помощью GPO закрыть доступ к дискам: C, D и E
нашел статью: Использование объектов групповой политики для скрытия дисков (http://support.microsoft.com/kb/231289)

проблема: файл %SystemRoot%\Sysvol\Sysvol\ваше_доменное_имя\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm - ОТСУТСТВУЕТ.
файлов с таким расширением в системе отсутствуют.

нашел статью
Она для Server 2000/2003.

файлов с таким расширением в системе отсутствуют
Параметры NoDrives и NoViewOnDrive в файле
\Windows\PolicyDefinitions\WindowsExplorer.admx

Но лучше создать новый ADMX-шаблон.

Petya V4sechkin, благодарю за оперативность.
нашел два файла: WindowsExplorer.adml - в каталоге ru-RU и WindowsExplorer.admx
сделал копию и отредактировал под себя. как теперь их "подгрузить" в систему ??? что бы мои изменения были видны в GPO.

отредактировал под себя
Какие изменения внесли?
HideCalc (http://www.hidecalc.co.uk/)
Editing Domain-Based GPOs Using ADMX Files (http://technet.microsoft.com/en-us/library/cc748955(v=ws.10).aspx)

я не однозначно выразился.
в каталоге: c:\Windows\PolicyDefinitions\ - оставил оригиналы WindowsExplorer.adml и ru-RU\WindowsExplorer.admx
в отдельный каталог скопировал и отредактировал под свои нужды - как теперь их использовать ???

Petya V4sechkin, благодарю.
все получилось: HideCalc » - создал файл, скинул его в c:\Windows\PolicyDefinitions\ »
открыл GPO и там появился новый параметр - осталось его включить и все заработало.

Объясните пожалуйста, как сделать:
В AD есть каталог OFFICE в нем каталоги User (тут живут учетки пользователей) и WS (тут живут компы, введенные в домен), есть каталог GROUP, в нем каталог RDP в котором находится группа TermServ (пользователи в этой группе подключаются к терминальному серверу)
Как пользователям группы TermServ групповой политикой запретить видеть диски терминального сервера? Но при этом, что бы на своих компьютерах они могли видеть и работать со всеми дисками без ограничения, а администраторы видели диски на сервере терминалов.