|
Настройка доступа к файлам на терминале
Есть терминальный сервер (Win 2008), на нём 1с, к нему ломится толпа юзеров. Когда юзеры заходят видят перед собой только 1с. И всё бы хорошо, но они могут через файл/открыть получить доступ к проводнику и через него смотреть и удалять все системные файлы и прочее.
В этой ситуации видим 2 выхода: 1. Запретить запуск эксплоер.ехе и прочих программ кроме 1с (но не комильфо, проводник может понадобится) 2. Запретить доступ к системным папкам и прочим папкам, но нужно что бы была возможность запускать 1с из программфайлс и хранить каталог временных файлов. Но что-то не можем догнать как правильно реализовать ни один из пунктов. |
в атрибутах файлов, сделай их скрыми. ...или же в "безопасности" добавь юзеров которым можно... всем остальным нельзя ) ч-з ГПО или локальные политики безопасности.
в общем погрызи ГПО, если есть КД. |
Цитата:
Цитата:
|
Что такое "могут удалять все системные файлы"? То есть, у вас пользователи обладают привилегиями Администратора?
|
У меня так же но программа другая. Юзеры заходят видят диски но ничего сделать не могут. Только с разрешенной папкой на сервере на диске D: могут играться. Поставь разрешения только на одну папку а для остальных сними в безопасности Юзера. Хотя в винде по дефолту юзер ничего не может практически делать.
|
Из моей практики: пользователям для работы в 1с, необходим расширенный доступ только на папку с базой.
На остальные каталоги и файлы я выставлял разрешения чтение и выполнение, в вашем случае выполнение можно убрать. |
Насколько я знаю, можно сделать так, чтобы подключаясь к серверу, можно пользователю закрыть все, открыв только значек мой компьютер, в котором диск пользователя с квотой 500 мб или 1 Гб или больше если надо и ярлык на нужную программу на рабочем столе, остальное все закрыто. Только как это сделать я не помню уже. Щас изменилось все... Если кто знает может описать.- но такое решение есть 100 %
|
Всем спасибо за советы, получилось так:
1. Юзерам по умолчанию закрыт доступ к системным файлам (проглючило меня) 2. А запуск приложений можно ограничить через локальные политики безопастности (Start –> Run… –> secpol.msc –> Политики управления приложениями –> AppLocker –> Исполняемые правила |
Petya V4sechkin,
Цитата:
нашел статью: Использование объектов групповой политики для скрытия дисков проблема: файл %SystemRoot%\Sysvol\Sysvol\ваше_доменное_имя\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm - ОТСУТСТВУЕТ. файлов с таким расширением в системе отсутствуют. |
Цитата:
Цитата:
\Windows\PolicyDefinitions\WindowsExplorer.admx Но лучше создать новый ADMX-шаблон. |
Petya V4sechkin, благодарю за оперативность.
нашел два файла: WindowsExplorer.adml - в каталоге ru-RU и WindowsExplorer.admx сделал копию и отредактировал под себя. как теперь их "подгрузить" в систему ??? что бы мои изменения были видны в GPO. |
Цитата:
|
я не однозначно выразился.
в каталоге: c:\Windows\PolicyDefinitions\ - оставил оригиналы WindowsExplorer.adml и ru-RU\WindowsExplorer.admx в отдельный каталог скопировал и отредактировал под свои нужды - как теперь их использовать ??? |
|
Объясните пожалуйста, как сделать:
В AD есть каталог OFFICE в нем каталоги User (тут живут учетки пользователей) и WS (тут живут компы, введенные в домен), есть каталог GROUP, в нем каталог RDP в котором находится группа TermServ (пользователи в этой группе подключаются к терминальному серверу) Как пользователям группы TermServ групповой политикой запретить видеть диски терминального сервера? Но при этом, что бы на своих компьютерах они могли видеть и работать со всеми дисками без ограничения, а администраторы видели диски на сервере терминалов. |
| Время: 08:00. |
Время: 08:00.
© OSzone.net 2001-