Разграничение доступа к файлам и папкам
Здравствуйте, уважаемые! Помогите разрулить задачу.
Имеется контроллер домена на Win2008, а так же терминальный сервер на этом контроллере. Пользователи заходят по RDP. Там они видят свой раб стол и могут запускать некоторые программы. Эти программы установлены на дисках H и I (так исторически сложилось). Как сделать, что бы пользователи не могли читать и изменять содержимое всех дисков (включая C, D и другие), но при этом могли запускать по ярлыку программы, находящиеся на этих дисках? Желательно все это разрулить разрешениями NTFS, а не групповыми политиками.
|
Наверно надо дать пользователям только права Read & execute, Read, может быть, List folder contents и все.
Попробуйте.
|
У меня винда русская. Под Read & execute имеется ввиду Траверс папок / выполнение файлов?
|
Цитата:
Цитата rline
Имеется контроллер домена на Win2008 »
|
убрать права администраторов домена.
Простые пользователи не имеют прав NTFS нигде, кроме указанных вручную ресурсов. Хотя, читать возможно могут. |
Ну хорошо. Например имеется 1С. Чтобы нормально в ней работать пользователь должен иметь права на запись и изменение. На счет удаления не уверен, но возможно 1с в процессе работы удаляет некоторые файлы. Так вот если ему дать эти права, то вполне возможно он и вручную сможет что-то накосячить с файлами. Как подстраховаться от этого?
|
Цитата:
Цитата rline
Как подстраховаться от этого? »
|
купить отдельный сервер для 1С, и настроить его соответственно. |
А с учетом того, что купить отдельный сервер нет возможности и пользователи будут работать с 1С в терминалке на контроллере? Что посоветуете?
|
найти возможность купить сервер. сколько пользователей? |
а всего сколько пользователей? вам домен вообще нужен? на контроллере домена нет локальных учёток и групп, по этому там не всё так гибко для простых пользователей
|
Всего пользователей чуть больше сорока. Из них в терминалке работает пять. Из этих пяти двое будут пользоваться одноэской.
|
тогда так можно сделать. Установить на контроллере домена роль hyper-V и там установить виртуальный сервере. Там уже установить терминал и 1С.
За одно и бекап будет через snapshot
|
Т.е. я так понимаю однозначного и относительно простого решения для терминальных пользователей нет?
|
Цитата:
Цитата rline
однозначного и относительно простого решения для терминальных пользователей нет? »
|
есть, но не в пределах контроллера домена. |
Цитата:
Цитата rline
Например имеется 1С. Чтобы нормально в ней работать пользователь должен иметь права на запись и изменение »
|
Для 1С нужны полные права только на папку с базой. Раз пользователей мало, то база будет файловая скорее всего.
Видимость этой папки можно отключить.
И что у Вас за проблемы бояться косяков от 5 пользователей всего? |
Цитата alef2474:
И что у Вас за проблемы бояться косяков от 5 пользователей всего? »
Пользователи больно ушлые и мнят себя хацкерами, поэтому нужно закрыть любые лазейки по максимуму.
Чтобы не плодить темы задам смежный вопрос здесь же. Имеется некоторое переносное приложение - всего один файлик exe. Если терминальный пользователь пытается запустить его, но прога не запускается и просит пароль админа, не смотря на то, что данному терминальному пользователю предоставлен полный доступ в правах на данный файл. Я так понимаю это проделки UAC. Как решить проблему не отключая UAC? |
Цитата:
Цитата rline
закрыть любые лазейки по максимуму »
|
Цитата:
Цитата exo
купить отдельный сервер для 1С »
|
если этого не сделать - ни о каком максимуме речи быть и не может.
Цитата:
Цитата rline
Имеется некоторое переносное приложение - всего один файлик exe »
|
что за прога? может она лезет в системный файлы. |
Цитата:
Цитата exo
что за прога? может она лезет в системный файлы. »
|
Вопрос про uac снимается. Вот решение |
Время: 07:17.
© OSzone.net 2001-
