Здравствуйте, уважаемые! Помогите разрулить задачу.
Имеется контроллер домена на Win2008, а так же терминальный сервер на этом контроллере. Пользователи заходят по RDP. Там они видят свой раб стол и могут запускать некоторые программы. Эти программы установлены на дисках H и I (так исторически сложилось). Как сделать, что бы пользователи не могли читать и изменять содержимое всех дисков (включая C, D и другие), но при этом могли запускать по ярлыку программы, находящиеся на этих дисках? Желательно все это разрулить разрешениями NTFS, а не групповыми политиками.

Наверно надо дать пользователям только права Read & execute, Read, может быть, List folder contents и все.
Попробуйте.

У меня винда русская. Под Read & execute имеется ввиду Траверс папок / выполнение файлов?

Имеется контроллер домена на Win2008 »
убрать права администраторов домена.
Простые пользователи не имеют прав NTFS нигде, кроме указанных вручную ресурсов. Хотя, читать возможно могут.

Ну хорошо. Например имеется 1С. Чтобы нормально в ней работать пользователь должен иметь права на запись и изменение. На счет удаления не уверен, но возможно 1с в процессе работы удаляет некоторые файлы. Так вот если ему дать эти права, то вполне возможно он и вручную сможет что-то накосячить с файлами. Как подстраховаться от этого?

Как подстраховаться от этого? »
купить отдельный сервер для 1С, и настроить его соответственно.

А с учетом того, что купить отдельный сервер нет возможности и пользователи будут работать с 1С в терминалке на контроллере? Что посоветуете?

Что посоветуете? »
найти возможность купить сервер. сколько пользователей?

2 пользователя :)

а всего сколько пользователей? вам домен вообще нужен? на контроллере домена нет локальных учёток и групп, по этому там не всё так гибко для простых пользователей

Всего пользователей чуть больше сорока. Из них в терминалке работает пять. Из этих пяти двое будут пользоваться одноэской.

тогда так можно сделать. Установить на контроллере домена роль hyper-V и там установить виртуальный сервере. Там уже установить терминал и 1С.
За одно и бекап будет через snapshot

Т.е. я так понимаю однозначного и относительно простого решения для терминальных пользователей нет?

однозначного и относительно простого решения для терминальных пользователей нет? »
есть, но не в пределах контроллера домена.

Например имеется 1С. Чтобы нормально в ней работать пользователь должен иметь права на запись и изменение »

Для 1С нужны полные права только на папку с базой. Раз пользователей мало, то база будет файловая скорее всего.
Видимость этой папки можно отключить.
И что у Вас за проблемы бояться косяков от 5 пользователей всего?

Цитата alef2474:
И что у Вас за проблемы бояться косяков от 5 пользователей всего? »
Пользователи больно ушлые и мнят себя хацкерами, поэтому нужно закрыть любые лазейки по максимуму.

Чтобы не плодить темы задам смежный вопрос здесь же. Имеется некоторое переносное приложение - всего один файлик exe. Если терминальный пользователь пытается запустить его, но прога не запускается и просит пароль админа, не смотря на то, что данному терминальному пользователю предоставлен полный доступ в правах на данный файл. Я так понимаю это проделки UAC. Как решить проблему не отключая UAC?

закрыть любые лазейки по максимуму »
купить отдельный сервер для 1С »
если этого не сделать - ни о каком максимуме речи быть и не может.

Имеется некоторое переносное приложение - всего один файлик exe »
что за прога? может она лезет в системный файлы.

что за прога? может она лезет в системный файлы. »

Вопрос про uac снимается. Вот решение (http://rezor666.wordpress.com/2012/09/27/%D0%B4%D0%B5%D0%BB%D0%B0%D0%B5%D0%BC-%D0%B8%D1%81%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D1%8F-%D0%B4%D0%BB%D1%8F-uac-%D0%B8%D0%BB%D0%B8-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0-network-scaner-xerox/)