ad 2012 Ограничение конкретного пользователя
 

Добрый день.
развернут АД 2012. Нужно сделать ограничение конкретного пользователя - т.е. чтобы пользователь имел доступ только к сетевой папке и только там мог делать изменения (это сделано)а вот чтобы на рабочем столе ничего не мог создать или скопировать туда - вот над этим тружусь уже 2 дня. Никак не могу понять где вообще такое делается?? облазил кучу форумов. Подскажите пожалуйста.

gpo

@GPO@ а можно немного конкретики... там очень много разделов, я даже не могу предположить в каком из них ответ на мой вопрос :dont-know

Рабочий стол - та же папка, к которой можно сделать ограничения, имхо.

если для одного пользователя, то да.
в настройках безопасности папки

Ограничить запись пользователем данных в пределах его профиля (%UserProfile%\Desktop) невозможно.

Straiker23, в пределах одного компьютера делается очень легко. Однако, у пользователя не должно быть административных прав, ибо он всё вернёт назад.
1) по сети подключаетесь к его компьютеру \\pc_name\C$\users\ваш_пользователь\Desktop
2) смотрите свойства папки Desktop - удалить наследование прав с копированием прав.
3) смотрите права для учётной записи "ваш_пользователь"
4) Дополнительно - снимаете права со следующих пунктов:

Тогда пользователь получит следующую ошибку при попытке изменить что-либо на рабочем столе:


Если ограничить для всех компьютеров, то, возможно, можно использовать перенаправляемую папку. Но я не проверял, в отличие от первого метода.

exo, плохой совет. Если пользователь пойдет с другого компа, то не прокатит. А если у юзера комп сменится? А если вы ему смените? Руками менять?! Скриптами? Увольте )
Для основной массы пользователей - лучше пользовать терминал-серверы. Бухи тоже катят, если у них нет доступа к банк-клиент программам. 1С, IE, word, excel, outlook, acrobat reader, 7 zip - это всё клиенты ТС. Дешево и сердито. Пара-тройка других общих программ. Почему нет в списке опенов? Ну вот когда они сделают .admx, тогда и поговорим под это. Пока там никому(кому?) это не нать, значит и нам не нать.
Профили на отдельном сервере (у нас было изначально на дебиан 6, но намучались если честно с 2к, на 2к8 пошло получше, но в обратку - так что проще(дешевле) на винде). ТС может быть несколько (2 обычно или 3) - делаем лоадбалансинг. Вообще шикарно.
По нашим подсчетам, если пользователей не менее 50ти - подобное катит. Если меньше - дешевле на десктопах. На линухах совсем дорого.

P.S. На 7/8 GPO расширены. В 8.1 еще расширены.

Не очень удобно. Редиректим май докс и рабочий стол - а это до 10-20 гигов как нефиг делать. Но юзеры на рабстанциях - VIP и не дай бог у них пропадет dhcp в неподходящее время (выставлено резервирование; пропажа случается, с последствиями). А еще у них дурная привычка кататься по городам и пробовать заходить с первого попавшегося компа. Терминал и рабстанцию не различают в упор. Бррр ( С новыми 2012(пока 2008 R2) будет много приличнее, опробовали активную реплику dhcp - шикарно просто, я сцал кипятком :) Начал присматриваться, нехорошо так, к VDI.

ну и что?
кто мешает настроить второй DHCP, при этом что в 2012 много чего интересного есть.
в условиях поставленной задачи это не обозначено.

exo, извини, есть желание отойти на полгодика от дел. Чет всё достало, с трудом обратку воспринимаю. И понимаю, как следует. Ты в большинстве прав, просто у тебя пойдет потом нечто больше чем "тупо скрины с объяснениями". Сорри. Выпилюсь самостоятельно лучше, на некоторое время. Знаю что это не тема - лень уже искать ту нужную тему просто.

если ты такой вумный - может своё решение предложишь? а то только треплешься...

Прошу прощения господа, что вмешиваюсь в Ваш интеллектуальный спор.

Хоте бы предложить несколько иной подход к решению задачи. Его абсолютной жизнеспособности не гарантирую, но на тестовой машинке попробовать можно. Авось сгодиться. Копать предлагаю в сторону реестра.

Приведу несколько ключиков, которые могут помочь

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDesktop"=dword:00000001 ;Запретить рабочий стол
"NoViewContextMenu"=dword:00000001 ;Сделать недоступным контекстное меню Проводника
"NoTrayContextMenu"=dword:00000001 ;Запретить контекстное меню Панели задач

P.S. мне ещё во времена XP удавалась превращать таким образом рабочие станции в тупой терминал, шаг влево, шаг в право - облом. Не думаю что в Windows 7,8 сильно что поменялось, но проверить стоит.
Так же прикреплю REG файл с большим количеством настроек.
Кстати и через GPO можно распространить необходимые ключи, например через Предпочтения (Preferences).

exo, извини, в личку отписался. ratibor79, на ТС левые реги - только для сумасшедшего или очень близкого друга (сумасшедшего). Вероятно проще убить профиль и сделать новый. Вчера столкнулся, что человек из пункта А по рдп в пункт Б (за 350км) терпит фэйл с принтером. При этом все его остальные коллеги никаких проблем с принтером не имеют. Оказалось что у чела поза-поза(сам путается)позавчера глюкануло "что-то что он не успел прочитать прежде, чем нажал кнопку ок". Нам он, естественно, про такой пустяк не сказал. Убили профиль. Майдокс и рабстол с шары. Пара настроек. Минимум телодвижений - все ок. 2 часа на выявление причины - какой-то глюк. Ок - у нас "какой-то глюк" = глюк по вашей вине, если вы не представили скриншот или не позвали айтишника в глюковский момент (нелегко далось, 3 года седины). Но зато очень убрало всякую фигню - потерял доки? Наша парень/тетя проблема, но ты за это платишь из своего кармана. Быстро стараются учиться работать, а не платить из своего.

winbond,

Вопрос как стоял?

Я предложил вариант (не ахти какой, но всё же) - тупо отключить рабочий стол для пользователя через реестр. А также сделал поправочку, о том что сие манипулирование я проделывал с простой Windows XP. Вот и всё, а ты сразу "сумасшедший".
К тому же под словом ТЕРМИНАЛ я подразумевал именно рабочую станцию, которая работает с ограниченными возможностями пользовательского интерфейса. А не RDS (или как ранее Terminal Service).

А ты, извини меня, про свои терки с пользователями и некорректной работе их профилей.

ratibor79, нуу... как вариант. Предложил. Просто быстрее профиль снести и снова сделать, чем восстанавливать старый из бэкапа. 99.9% - проверено(если есть хоть пара ГП на терминал-сервер). По шаблону даже через три месяца текучка теряется. У вас может и не так. Не буду спорить.

winbond

К сожалению, Вы так и не поняли мою мысли. Суть мысли заключается , то есть у пользователя не должно быть возможности хранение данных на рабочем столе. Как этого добиться, не меняя NTFS разрешений к папке Desktop (Рабочий стол)? Моя мысль заключается в отключении самого рабочего стола, а при желании и контекстного меню проводника и панели задач. Эту фишку я подхватил в далеком 2006 году, когда австрийская компания Axess внедряла у нас свою платёжно-пропускную систему. Они, дабы ограничить простым кассирам возможность любых манипуляций в системе, накладывали ограничения пользователей, всё что последние имели - меню Пуск с возможностью запуска одной единственной программы. Всё. При этом ни о каком терминальном сервере (RDS/TS) или перемещаемых профилях с перенаправлением папок речи не идёт.

Для понимания идеи абстрагируйтесь от майкрасовтовского понятия ТЕРМИНАЛ (RDS или TS). Пример, работа банкоматов и иже подобных систем.

А у Вас профиль пользователя локальный или перемещаемый?

Telepuzik

Я говорю о локальном профиле, не перемещаемом, без перенаправления папок. Для локального профиля всё работает (если подойти с умом), для перемещаемого не знаю.

Суть заключается в отключении возможностей проводника (рабочий стол, контекстное меню и т.д ) для конкретного пользователя, т.е манипуляция в ветке реестра HKEY_CURRENT_USER. Таким образом "издеваться" над пользователем, ограничивать его вполне удобно (всё зависит от вашей фантазии).

Приемлемо ли для Вас и Вашей организации, это Вам решать. Я лишь поделился опытом.
Во времена Windows XP и Windows Server 2003 это было вполне нормальное решение, например для организации места доступа в интернет для гостей и клиентов.

Со времен еще 2к в групполиси есть такая штука как редирект рабочего стола (моих документов и т.д.... добавились пункты в новых серваках) в нужное место - шару например или другой диск... Редиректите через ГП рабстол юзера на шару \\server\desktop_for_all\, заливаете туда нужные ярлыки и запрещаете туда нтфсом запись. Разные юзеры? Разные компы? Так разные шары и ГП. Всё.

Куда уж дальше то абстрагироваться? И так все тонкие на ponix, либо thinstation доработанных и урезанных по самое "не балуй". Просто - если есть рабочий стол винды, то есть винда. Если есть винда, к ней можно применить групповые политики, хотя бы локальные(если не в домене). Всё логично. gpmc.msc - в 2012 R2/8.1, gpedit.msc - раньше.

winbond

Я задаю вопрос
и отвечаю, что есть способ через реестр.
Вы отвечаете
Спасибо за напоминание, но
1. 2. Ну раз уж речь пошла о перенаправлении (редиректе) папок, то возникает вопрос. А какой смысл запрещать пользователю хранить данные на Рабочем столе? Если речь идёт о сохранности данных, их резервном копирование, то они хранятся на файловом сервере (Shared Folder), а следовательно легко бекапяться средствами самого сервера.
3. В случае не доступности (например проблемы с сетью) файлового сервера (Shared Folder) куда перенаправлен рабочий стол, могут возникнуть ошибки при загрузке профиля пользователя. Стало быть нужно настраивать Автономные файлы.
4. . А ещё можно настроить "Обязательный перемещаемый профиль" + перенаправление (редирект) папок.
5. По моему инициатору темы Straiker23, уже давно не интересна сама тема. Так что не вижу смысла её продолжать.

Удачи.

1. Абсолютно пофиг. Способ работает на любой рабочей винде(3.1 не имею ввиду). И, да - о перемещаемых профилях речь при этом способе не ведется.
2. Момент первый: Гадят. Вытаскивают общие доки (а не ярлыки) из общих папок на рабстол и работают с ними "локально". Потом негодуют и мечут икру... или их начальство мечет. Иногда проще запретить, к счастью - всё реже такая надобность возникает.
Момент второй: мобильные пользователи, сегодня они в Мск, завтра в Спб, послезавтра в Китае с китайского компа по VPN. Тоже проблему решает, если с умом подойти. ГП есть и на юзеров, и на компы. Причем на конкретных потребителей можно указать.
3. Решается другими способами (железо, Branch Cache, NLB, другой диск/другая папка на этом же компе...). Не вижу проблем с настройкой автономных файлов. Поставить(или снять) галку - трудно? Или через ГП галки раскидать?
4. Можно
5. Согласен

Удачи тоже.