Запрет на копирование данных с сервера
 

Вопросу 100 лет в обед, но 4 первые страницы поисковиков (яндекс, гугл) пока не дали результатов. Рабочих вариантов не нашёл.

В терминальном сервере работают люди в 1с. Задача запретить этим людям, а так же разным пришлым (например аудиторы) сохранять на свой компьютер файлы из папки с базами. Это задача минимум.
Задача максимум - запретить определённым пользователям копировать любые данные, кроме выделенного текста, на свой комп через буфер обмена или в общую папку на сервере.

Уже пробовал некоторые вещи, но дыр хватает. Remoteapp при нажатии ctrl-alt-end даёт доступ к диспетчеру задач, а там уже вороти что хоешь(кстати тоже не решённая проблема мною, как закрыть эту дыру). Так же не удобно тем, что порой пользователям нужен именно rdp с рабочим столом сервера.

Ставить проги на подобие DeviceLock смысла нет. всегда можно отправить через почту данные.

Какие мысли? Может кто-то за 10 лет решил эту проблему?

Попробуйте ремап клавиатуры, переназначьте клавише End любое другое значение, в хозяйстве на сервере она все равно не нужна. Если сработает, то комбинация перестанет работать, дыра закрыта.

Почту тоже можно заблокировать, как протокол, или как программное обеспечение (SRP, белый список - долго, нудно, но что делать).

Вариант с мезинцем на ноге. Мешает в узкой обуви - отрезать к хренам, всё-равно он не нужен. Да не нужна в 99% end, но она мне нравится. Спасибо, если не найдётся решение, попробую изменить у некоторых клиентов эту клавишу.

ну это уже ни в какие ворота не лезет. Можно тогда и человека за спиной с автоматом пристроить.

Понимаете, нужно что бы пользователь продолжал ощущать себя комфортно. Если ему запретить почту, запретить флэшку вставлять в комп, то первым вздрючат меня. Потому что найдётся 1000 причин (и они действительно есть), почему людям нужна почта и людям нужны флэшки.

p.s. Вопрос с RDP остаётся. Как и писал выше - он главный.

Установить SQL и перенести туда БД. И забыть о том что есть "...из папки с базами". ;)

Это можно делать только через спец софт. Сама Windows такой "секретности" не обеспечивает и обеспечить в принципе не может, она для другого сделана.

NTSF права на что придумали не знаете?

Доступ в интернет из/к различным ресурсам настраивается централизовано с прокси сервера.

комбинация срабатывает не на сервере, оказывается. end как кнопка отключена, но работает. получается, нужно на компе отключать пользовательском.

Согласен. Большую дыру закрою.
Может есть проверенный софт какой? Буду благодарен.
Если человек состоит одновременно в двух пользовательских группах, одной разрешён доступ к папке полный, а второй группе запрещён доступ к общей папке полностью. Как отработать винда должна? Я конечно протестю у себя, но интересно в теории как должно быть.

Цитата:

Цитата Iska Например? »

например открыть explorer.exe, либо любую другую прогу.

Не в теории, а в документации...
Если своими словами, то примерно как: "Запрет имеет безусловный приоритет над разрешением".

Нет проверенного софта нет, была у меня похожая задача на одной из работ и тогда нашли выход в использовании спец. БД на платформе 1С (толи 1С документооборот назывался, толи ещё как-то) где можно было гибко настраивать права ну почти на всё для каждого пользователя, но до внедрения так и не дошло.

потому что надо не "окошко" с возможностью запуска прятать, а явно задавать разрешения на исполнение приложений через GPO

включаете политики
Do not allow clipboard redirection
ну, по-хорошему все остальные redirection: drive, com, lpt

Пытаюсь настроить applocker для этих целей. Но в работающей среде это сделать крайне трудно. Не хватает опыта.

1. Ну и что? Пусть хоть об'открываются. Привилегии-то (и права) какими были, теми же и останутся.
2. Чтобы что-то запустить, не нужен Диспетчер задач, достаточно банального окна стандартного диалога Открыть/Сохранить, который есть в любой 1С.