Вопросу 100 лет в обед, но 4 первые страницы поисковиков (яндекс, гугл) пока не дали результатов. Рабочих вариантов не нашёл.

В терминальном сервере работают люди в 1с. Задача запретить этим людям, а так же разным пришлым (например аудиторы) сохранять на свой компьютер файлы из папки с базами. Это задача минимум.
Задача максимум - запретить определённым пользователям копировать любые данные, кроме выделенного текста, на свой комп через буфер обмена или в общую папку на сервере.

Уже пробовал некоторые вещи, но дыр хватает. Remoteapp при нажатии ctrl-alt-end даёт доступ к диспетчеру задач, а там уже вороти что хоешь(кстати тоже не решённая проблема мною, как закрыть эту дыру). Так же не удобно тем, что порой пользователям нужен именно rdp с рабочим столом сервера.

Ставить проги на подобие DeviceLock смысла нет. всегда можно отправить через почту данные.

Какие мысли? Может кто-то за 10 лет решил эту проблему?

Remoteapp при нажатии ctrl-alt-end даёт доступ к диспетчеру задач »
Попробуйте ремап клавиатуры, переназначьте клавише End любое другое значение, в хозяйстве на сервере она все равно не нужна. Если сработает, то комбинация перестанет работать, дыра закрыта.

Ставить проги на подобие DeviceLock смысла нет. всегда можно отправить через почту данные. »
Почту тоже можно заблокировать, как протокол, или как программное обеспечение (SRP, белый список - долго, нудно, но что делать).

Попробуйте ремап клавиатуры, переназначьте клавише End любое другое значение, в хозяйстве на сервере она все равно не нужна. Если сработает, то комбинация перестанет работать, дыра закрыта. »
Вариант с мезинцем на ноге. Мешает в узкой обуви - отрезать к хренам, всё-равно он не нужен. Да не нужна в 99% end, но она мне нравится. Спасибо, если не найдётся решение, попробую изменить у некоторых клиентов эту клавишу.

Почту тоже можно заблокировать, как протокол, или как программное обеспечение (SRP, белый список - долго, нудно, но что делать). »
ну это уже ни в какие ворота не лезет. Можно тогда и человека за спиной с автоматом пристроить.

Понимаете, нужно что бы пользователь продолжал ощущать себя комфортно. Если ему запретить почту, запретить флэшку вставлять в комп, то первым вздрючат меня. Потому что найдётся 1000 причин (и они действительно есть), почему людям нужна почта и людям нужны флэшки.

p.s. Вопрос с RDP остаётся. Как и писал выше - он главный.

В терминальном сервере работают люди в 1с. Задача запретить этим людям, а так же разным пришлым (например аудиторы) сохранять на свой компьютер файлы из папки с базами. »

Установить SQL и перенести туда БД. И забыть о том что есть "...из папки с базами". ;)

Задача максимум - запретить определённым пользователям копировать любые данные, кроме выделенного текста, на свой комп через буфер обмена »

Это можно делать только через спец софт. Сама Windows такой "секретности" не обеспечивает и обеспечить в принципе не может, она для другого сделана.

или в общую папку на сервере »

NTSF права на что придумали не знаете?

всегда можно отправить через почту данные. »

Доступ в интернет из/к различным ресурсам настраивается централизовано с прокси сервера.

Понимаете, нужно что бы пользователь продолжал ощущать себя комфортно. »
Та, извините, муштра, которую вы описали с тотальным запретом всего и вся, ну никак не коррелирует с понятием "комфорт", уж извините ещё раз, но надо либо шашечки, либо ехать. Не получится сделать кипящий снег.

при нажатии ctrl-alt-end даёт доступ к диспетчеру задач, а там уже вороти что хоешь »
Например?

Попробуйте ремап клавиатуры, переназначьте клавише End любое другое значение, в хозяйстве на сервере она все равно не нужна. Если сработает, то комбинация перестанет работать, дыра закрыта. »
комбинация срабатывает не на сервере, оказывается. end как кнопка отключена, но работает. получается, нужно на компе отключать пользовательском.

Установить SQL и перенести туда БД. И забыть о том что есть "...из папки с базами". »
Согласен. Большую дыру закрою.
Это можно делать только через спец софт. Сама Windows такой "секретности" не обеспечивает и обеспечить в принципе не может, она для другого сделана. »
Может есть проверенный софт какой? Буду благодарен.
NTSF права на что придумали не знаете? »
Если человек состоит одновременно в двух пользовательских группах, одной разрешён доступ к папке полный, а второй группе запрещён доступ к общей папке полностью. Как отработать винда должна? Я конечно протестю у себя, но интересно в теории как должно быть.

Например? »
например открыть explorer.exe, либо любую другую прогу.

интересно в теории как должно быть »

Не в теории, а в документации...
Если своими словами, то примерно как: "Запрет имеет безусловный приоритет над разрешением".

Может есть проверенный софт какой? »

Нет проверенного софта нет, была у меня похожая задача на одной из работ и тогда нашли выход в использовании спец. БД на платформе 1С (толи 1С документооборот назывался, толи ещё как-то) где можно было гибко настраивать права ну почти на всё для каждого пользователя, но до внедрения так и не дошло.

например открыть explorer.exe, либо любую другую прогу. »
потому что надо не "окошко" с возможностью запуска прятать, а явно задавать разрешения на исполнение приложений через GPO

Задача запретить этим людям, а так же разным пришлым (например аудиторы) сохранять на свой компьютер файлы из папки с базами. »
включаете политики
Do not allow clipboard redirection
ну, по-хорошему все остальные redirection: drive, com, lpt

потому что надо не "окошко" с возможностью запуска прятать, а явно задавать разрешения на исполнение приложений через GPO »
Пытаюсь настроить applocker для этих целей. Но в работающей среде это сделать крайне трудно. Не хватает опыта.

например открыть explorer.exe, либо любую другую прогу. »
1. Ну и что? Пусть хоть об'открываются. Привилегии-то (и права) какими были, теми же и останутся.
2. Чтобы что-то запустить, не нужен Диспетчер задач, достаточно банального окна стандартного диалога Открыть/Сохранить, который есть в любой 1С.