Удалённый пользователь работает с 1С на сервере. Через RestrictRun ограничил его в запуске приложений. Через "Общий доступ и безопасность" выставил на "диск C:\" особые разрешения на создание/удаление папок, файлов. Но разрешения не работают - пользователь может удалить папку на диске C:\ , изменить и сохранить документ. Как ограничить пользователя, чтобы он мог изменять только файлы базы данных?

Khabby, обычные политики в Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Проводник ->
Скрыть выбранные диски из окна "Мой компьютер"
Запретить доступ к дискам через "Мой компьютер"

пробовали?

У вас особая версия 1С, которая хранит файлы базы в корне диска C:?

Petya V4sechkin, не знал о таких политиках. Испытал, подходит. Но - изменение политик под одним пользователем изменяет политики для всех пользователей. Так не должно же быть?

WindowsNT, я хотел ограничить доступ ко всему содержимому С: , затем открыть рабочую папку программы и базы.

У меня получилось ограничить/запретить создавать/удалять папки и файлы когда я выставил чекбокс "Заменить разрешения для всех дочерних...", затем, как я и планировал, получилось дать полный доступ через вкладку Аудит к рабочей папке. Я всё правильно делаю?

1. По умолчанию, пользователи и без того ограничены в доступе к C:. Единственное, что следует сделать, — убрать в Security -> Advanced разрешение на создание своих папок и изменение файлов в самом корне. Выставлять "Заменить разрешения" не следует, это может испортить нормальную структуру разрешений на папку Windows.

Что у вас сейчас там — просто какой-то кишмиш. Есть три встроенные группы: Administrators, SYSTEM и Users. Последней должен быть выставлен доступ только на Чтение, двум первым — Full Control. Три группы должны быть перечислены в корне системного диска, всё.

2. В разрешениях на папку с базой лучше прервать наследование и выставить Administrators, SYSTEM: Full Control, 1C Database Users: Modify.

3. Вкладка Аудит не регулирует разрешения. Её задача — журналировать доступ. Кто-то что-то сделал с папкой? Запишем в журнал... Как правило, Аудит лучше включать на успешное удаление объектов для группы Все. Если что-то пропадёт, потом по журналу можно найти, кто и когда это сделал.

4. RestrictRun слишком просто обойти, это несекурно. Поищите информацию о Software Restriction Policies.