Доброе время суток.
1. Есть терминальный сервер
2. Есть 10 пользователей которые подключаются по RDP

Когда пользователи подключились они видят все каталоги на диске D как можно ограничить отображение каталогов что бы каждый пользователь видел свой каталог, а каталоги остальных пользователей не видел.

Спасибо!

Ой.. Такое мы проходили лет 5 назад.
Костыль:
Диск Д - досуп только Администраторам
Далее делаете каталог Share, в нем каталоги %username% Ваших пользователей.
Каталог Share расшариваете, настраивате права как вам надо
Потом в общую автозагрузку ярлык на cmd

net use Z: \\%computername%\Share\%username%

где %computername% имя/ип вашего сервера

По итогу каждому при логоне примапится сетевой диск из которого пользователь выбраться не сможет. Главное правильно права на каталоги и шару поставить.


Да, я в курсе - костыль еще тот

Ой.. Такое мы проходили лет 5 назад. »
Спасибо! ОК на сейчас есть какой то более правильный выход из ситуации???
А зачем тогда подключаться по rdp что бы получить доступ к своему каталогу с данными которые лежат на диске D.
Если можно ввести пользователей в домен и к каждой учетке подключить сетевой диск не заходя по rdp.

Какие были исходные данные, такой костыль и написал. =)
Исходил из того, что терминальный сервер хз где, пользователи там локальные, домена нет планета населена роботами.

Пользователи в домене и подключаются к этому серверу по RDP

и при чём здесь RDP?
если пользователь локально зайдёт в систему, у него по-вашему должна быть другая "картина"?

Не получится так сделать.
Можно насоздавать каталогов для пользователей и убрать "Список содержимого папки" для родительского каталога. Свой каталог пользователь не увидит, но на него можно сделать ярлык.
Только к чему всё это? - у пользователей уже есть свой личный профиль со своим личным каталогом "Documents".

и при чём здесь RDP? »
Когда пользователь подключиться по rdp он будет видеть весь диск D зачем ему скажем доступ к папкам с другого отдела логистики или еще какого то?

Когда пользователь подключиться по rdp он будет видеть весь диск D »
В групповой политике есть пункт скрыть диск (можешь выбрать любую букву).
зачем ему скажем доступ к папкам с другого отдела логистики или еще какого то? »
Ну, так настрой разрешение (вкладка Безопасность в свойстве папки) к папкам.

зачем ему скажем доступ к папкам с другого отдела логистики или еще какого то? »
И что? Причём тут доступ? Видеть — пусть видит. Знаете выражение — «Видит око, да зуб неймёт»? Вас (или заказчика данной хотелки) не смущает то, что в каталоге Documents and Settings/Users пользователю видны каталоги всех профилей, а не только его собственный?

Нет, оно, конечно, можно, но… не нужно.

так настрой разрешение (вкладка Безопасность в свойстве папки) к папкам. »
однозначно.
Если все настроено правильно - т.е. у пользователя нет возможности использовать сторонний файл-менеджер - будь-то местный либо вброшенный в сеанс любыми средствами - переназначается папка Documents на нужный диск (в данном случае D:) в отдельную папку - типа D:\USERS - в папку с именем пользователя %username%, т.е. итоговая ссылка будет на D:\USERS\%username%. К конечной папке даем доступ ТОЛЬКО админам да самому юзеру. Диски скрываем от юзера вообще. Профит.
ЗЫ: рекомендую полистать возможности команды mklink... она умеет выкинуть любую папку юзеру прямо на рабочий стол, с где бы она не росла на самом деле.

т.е. у пользователя нет возможности использовать сторонний файл-менеджер »
cmd.exe и powershell.exe тоже запретим?

Iska, ессно. Зачем юзеру самостоятельно запускать cmd? А тем паче powershell?

ShaddyR, а как же logon/logout-скрипты выполнять (WSH, как я понимаю, мы тоже запретим, вкупе с mshta, IE, VBA и vbc.exe/csc.exe) :dont-know ?!

зачем ему скажем доступ к папкам с другого отдела логистики или еще какого то? »
А зачем пользователю подключаться куда-то по RDP чтобы получать доступ к нужным документам? Размещать документы нужно на предназначенных для этого серверах с соответствующими ролями, а терминальный сервер с файлохранилищем ничего общего иметь не должен.
ОК на сейчас есть какой то более правильный выход из ситуации??? »
Раз всё в домене - DFS (https://ru.wikipedia.org/wiki/Distributed_File_System)

Когда пользователь подключиться по rdp он будет видеть весь диск D зачем ему скажем доступ к папкам с другого отдела логистики или еще какого то? »
хорошо пойдём от обратного:

Когда пользователь подключается по TeamViewer, он будет видеть весь диск D зачем ему скажем доступ к папкам с другого отдела логистики или еще какого то? - предлагаю переименовать тему на TeamViewer!
Когда пользователь подключается по vpn, он будет видеть весь диск D зачем ему скажем доступ к папкам с другого отдела логистики или еще какого то? - предлагаю переименовать тему на vpn!

Не приходит в голову, что предоставляющий доступ к системе "механизм" не относится к распределению доступа внутри системы?

Раз всё в домене - DFS »
DFS - не панацея, а боль и компромисс
и мало подходит для работы пользователей с документами, т.к. не индексируется
а уж для десятка пользователей, так уж точно избыточно-бессмысленна, как и деление на несколько серверов

DFS - не панацея, а боль и компромисс
и мало подходит для работы пользователей с документами, т.к. не индексируется
а уж для десятка пользователей, так уж точно избыточно-бессмысленна, как и деление на несколько серверов »
Что? В данном случае DFS отвечает за предоставление доступа и только, при чем тут индексация вообще?

как же logon/logout-скрипты выполнять »
DWORD-параметр DisableCMD = 2 - не? Вообще, зачем cmd и powershell бесправному пользователю?

Вообще, зачем cmd и powershell бесправному пользователю? »
Затем же, зачем и «правному» — для автоматизации регулярно повторяемых действий.

для автоматизации регулярно повторяемых действий »
ограниченному пользователю терминал-сервера? Автоматизировать что-то? Такое ощущение, что ты все к себе примеряешь.

зачем cmd и powershell бесправному пользователю? »
вы пропустили слово:
зачем cmd и powershell запрещать бесправному пользователю?
если прав нет, то он это и не сделает
а если права есть - с большой вероятностью есть возможность сделать это и без powershell

ограниченному пользователю терминал-сервера? Автоматизировать что-то? »
Так в этом и смысл терминального сервера - предоставлять полноценную пользовательскую среду.
А так можно было бы обойтись одним только RemoteApp, а в большинстве случаев - клиентским приложением.