Настройка GPO
 

День добрый! Дело собственно вот в чем: на сервере поднят контролер домена и терминал сервер, всем терминальным пользователям надо максимум ограничить права. Так вот хоть убей но не могу найти где закрыть доступ к просмотру компьютеров локальной сети, вообще ограничить доступ к локалке через GPO.


Сервер win 2008 R2, роли: КД, терминал сервер, DNS, сервер лицензирования терминальных пользователей.

отключить на ВСЕХ серверах/станциях службу "Обозревателя", а что значит "вообще ограничить доступ к локалке"?.. как тогда подключаться к терминал-серверу?

Зачем нужен сервер терминалов на DC ? Windows поддерживает 3 сеанса для администрирования (1 локальный 2 удаленных) без роли сервера терминалов. А пускать пользователей на контроллер домена, мягко говоря, не правильно.
Ограничить доступ сервера к локалке можно например вынеся его за брандмауэр в зону периметра (DMZ) (обычно это конечно с целью ограничения доступа к серверу из локалки делается). Для этого можете использовать MS Forefront TMG (или, как Вам бы посоветовала cameron, ISA Server).
Вы можете выделить для сервера отдельный VLAN, если конечно имеется соответственное оборудование.
Ну и худший вариант - запретить работу служб(закрыть порты), которых вы посчитаете ненужными,а может применить политику "все что не разрешено- запрещено", что будет правильнее, каким-нить брандмауэром на этом же сервере, с учетом того что прав обычного пользователя не должно хватать на изменение конфигурации брандмауэра (рассматриваю такой вариант, исключительно потому что уже и так все сделано через .....)

Valik87,
конфигурация пользователя - административные шаблоны:
- компоненты Windows/проводник Windows
- Меню «Пуск» и панель задач
- Рабочий стол

в этих разделах есть необходимые вам пункты.
советую на будущее более внятно излагать свои пожелания, вас сложно понять.

у вас ко мне странная любовь

Чтобы закрыть доступ к сети (обозреватель) - отключи NetBIOS. (Тут конечно продвинутые могут по ip зайти... но расшарить с знаком $ тоже может помочь) Либо служба обозреватель.

Чтобы ограничить доступ к локалке (localhost) для пользователей терминала... включи автозапуск программы (например 1С)...только зарание настрой принтеры...сканеры.. и т.д.т.п.

Удачи..

Вобще сервер для терминальных пользователей которые работают с 1С, а DC поднят для удобства настройки рабочего пространства пользователя на сервере. Надо максимально обезопасить базу 1С от копирования, ну и чтоб пользователи меньше навредили системе. По этому подымается контролер домена, создается подразделение в которое переносятся все юзеры, работающие с программой, и для этого подразделения настраивается GPO.


это все настраивал, походу как-то не сразу применялись политики, позже заработало все!!!

политика применяется в течении 90 мин... или после захода пользователя (для пользовательской GPO)

я обновлял через gpupdate, и перезаходом пользователя

Молодцом))

Для начала я бы советовал развести разные задачи по разным серверам. Тем более сервак с ролью DC вообще крайне не желательно грузить чем либо, тем более терминалом с 1С. Если в 1С работает хотя бы 10 юзеров, то когда они разом начинают делать выгрузки в Exel, то не очень мощный сервак запросто может сойти с ума со всеми отсюда вытекающими последствиями (это из собственного опыта). Я бы предложил поднять виртуальные машины (Hyper-v, ESXi и т.д., что для вас удобнее). Для нормальной работы DC вполне достаточно 1Gb оперативы и одного виртуального процессора (опять же из собственного опыта) а на втором виртуальном серваке поднять терминалы и отдать ему оставшиеся ресурсы (я надеюсь, у вас не 1.5 Gb оперативы :). Тогда и не будет необходимости хранить базу в сети. А для того, чтоб закрыть доступ для юзеров, дайте им права гостя, разрешите запуск только 1С и поэксперементироуйте с вкладкой "Безопасность". Там можно запретить просмотр содержимого папки, но при этом сохранить возможность чтения/записи, а из сети вообще закрыть доступ к папки с базой, например, отключив системную шару диска, где лежит база (Мой компьютер правой кнопкой, Управление, Общие папки.)