RDP
 

Доброе время суток.
1. Есть терминальный сервер
2. Есть 10 пользователей которые подключаются по RDP

Когда пользователи подключились они видят все каталоги на диске D как можно ограничить отображение каталогов что бы каждый пользователь видел свой каталог, а каталоги остальных пользователей не видел.

Спасибо!

Ой.. Такое мы проходили лет 5 назад.
Костыль:
Диск Д - досуп только Администраторам
Далее делаете каталог Share, в нем каталоги %username% Ваших пользователей.
Каталог Share расшариваете, настраивате права как вам надо
Потом в общую автозагрузку ярлык на cmd
где %computername% имя/ип вашего сервера

По итогу каждому при логоне примапится сетевой диск из которого пользователь выбраться не сможет. Главное правильно права на каталоги и шару поставить.


Да, я в курсе - костыль еще тот

Спасибо! ОК на сейчас есть какой то более правильный выход из ситуации???
А зачем тогда подключаться по rdp что бы получить доступ к своему каталогу с данными которые лежат на диске D.
Если можно ввести пользователей в домен и к каждой учетке подключить сетевой диск не заходя по rdp.

Какие были исходные данные, такой костыль и написал. =)
Исходил из того, что терминальный сервер хз где, пользователи там локальные, домена нет планета населена роботами.

Пользователи в домене и подключаются к этому серверу по RDP

и при чём здесь RDP?
если пользователь локально зайдёт в систему, у него по-вашему должна быть другая "картина"?

Не получится так сделать.
Можно насоздавать каталогов для пользователей и убрать "Список содержимого папки" для родительского каталога. Свой каталог пользователь не увидит, но на него можно сделать ярлык.
Только к чему всё это? - у пользователей уже есть свой личный профиль со своим личным каталогом "Documents".

Когда пользователь подключиться по rdp он будет видеть весь диск D зачем ему скажем доступ к папкам с другого отдела логистики или еще какого то?

В групповой политике есть пункт скрыть диск (можешь выбрать любую букву).
Ну, так настрой разрешение (вкладка Безопасность в свойстве папки) к папкам.

И что? Причём тут доступ? Видеть — пусть видит. Знаете выражение — «Видит око, да зуб неймёт»? Вас (или заказчика данной хотелки) не смущает то, что в каталоге Documents and Settings/Users пользователю видны каталоги всех профилей, а не только его собственный?

Нет, оно, конечно, можно, но… не нужно.

однозначно.
Если все настроено правильно - т.е. у пользователя нет возможности использовать сторонний файл-менеджер - будь-то местный либо вброшенный в сеанс любыми средствами - переназначается папка Documents на нужный диск (в данном случае D:) в отдельную папку - типа D:\USERS - в папку с именем пользователя %username%, т.е. итоговая ссылка будет на D:\USERS\%username%. К конечной папке даем доступ ТОЛЬКО админам да самому юзеру. Диски скрываем от юзера вообще. Профит.
ЗЫ: рекомендую полистать возможности команды mklink... она умеет выкинуть любую папку юзеру прямо на рабочий стол, с где бы она не росла на самом деле.

Iska, ессно. Зачем юзеру самостоятельно запускать cmd? А тем паче powershell?

А зачем пользователю подключаться куда-то по RDP чтобы получать доступ к нужным документам? Размещать документы нужно на предназначенных для этого серверах с соответствующими ролями, а терминальный сервер с файлохранилищем ничего общего иметь не должен.
Раз всё в домене - DFS

хорошо пойдём от обратного:

Когда пользователь подключается по TeamViewer, он будет видеть весь диск D зачем ему скажем доступ к папкам с другого отдела логистики или еще какого то? - предлагаю переименовать тему на TeamViewer!
Когда пользователь подключается по vpn, он будет видеть весь диск D зачем ему скажем доступ к папкам с другого отдела логистики или еще какого то? - предлагаю переименовать тему на vpn!

Не приходит в голову, что предоставляющий доступ к системе "механизм" не относится к распределению доступа внутри системы?

DFS - не панацея, а боль и компромисс
и мало подходит для работы пользователей с документами, т.к. не индексируется
а уж для десятка пользователей, так уж точно избыточно-бессмысленна, как и деление на несколько серверов

Что? В данном случае DFS отвечает за предоставление доступа и только, при чем тут индексация вообще?

DWORD-параметр DisableCMD = 2 - не? Вообще, зачем cmd и powershell бесправному пользователю?

вы пропустили слово:
зачем cmd и powershell запрещать бесправному пользователю?
если прав нет, то он это и не сделает
а если права есть - с большой вероятностью есть возможность сделать это и без powershell

Так в этом и смысл терминального сервера - предоставлять полноценную пользовательскую среду.
А так можно было бы обойтись одним только RemoteApp, а в большинстве случаев - клиентским приложением.

ShaddyR, ты сам себе противоречишь, политика про которую ты твердишь (DisableCMD = 2) запретит только интерактивный запуск консоли, а batch-файлы разрешит вообще, не ограничиваясь logon/logoff.
Т.е. ставишь палки в колёса пользователю, который может и не сунуться? и даёшь зелёный свет всему запущенному от его имени.

Как раз наоборот, это ты ориентируешься не на закрытие дырки, а на какие-то косвенные меры.