Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019 » 2016 - RDP

Ответить
Настройки темы
2016 - RDP

Аватара для Rubichek

Ветеран


Сообщения: 566
Благодарности: 5

Профиль | Отправить PM | Цитировать


Доброе время суток.
1. Есть терминальный сервер
2. Есть 10 пользователей которые подключаются по RDP

Когда пользователи подключились они видят все каталоги на диске D как можно ограничить отображение каталогов что бы каждый пользователь видел свой каталог, а каталоги остальных пользователей не видел.

Спасибо!

Отправлено: 19:34, 28-03-2019

 

Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 23291
Благодарности: 4195

Профиль | Сайт | Отправить PM | Цитировать


Цитата Busla:
зачем cmd и powershell запрещать бесправному пользователю? »
чтоб не было желания проверить свою бесправность и\или нанести вред - себе ли, системе ли, не важно. Кроме того, Busla, вспомни заданный ТС вопрос. Собственно, за этим. Среда работы пользователя должна быть подготовлена для него админом. Ее состав пользователь не может и не должен менять. Набор программ определен, их список регулируется специализацией. Ничего, кроме выделенного, доступно быть не должно. В противном случае - базар-вокзал, нехватка ресурсов и шифровальщик на сладкое.

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || Мой shaddyr.at.ua/blog: Подарите мне сервак, подарите!


Отправлено: 22:41, 30-03-2019 | #21



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Contributor


Сообщения: 24481
Благодарности: 7114

Профиль | Отправить PM | Цитировать


И что должен пользовать администратор для:
Цитата ShaddyR:
Среда работы пользователя должна быть подготовлена »
в тех случаях, когда возможностей, предоставляемых посредством заданных профилей, групповой политики и предпочтений групповой политики тупо недостаточно?

Отправлено: 23:03, 30-03-2019 | #22


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 23291
Благодарности: 4195

Профиль | Сайт | Отправить PM | Цитировать


Цитата Iska:
что должен пользовать администратор »
ты в какой части рассуждения потерял его нить? Администратор пользует то, что ему удобно - он-то ни в чем не ограничен. Или я что-то пропустил в постановке тех.задания и у ТС все пользователи - администраторы? Тогда решение не сработает, вот и все. Точнее, не будет эффективным, по очевидным причинам. Встречный вопрос: что пытаешься доказать-то?

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || Мой shaddyr.at.ua/blog: Подарите мне сервак, подарите!


Отправлено: 03:29, 31-03-2019 | #23


Ветеран


Contributor


Сообщения: 24481
Благодарности: 7114

Профиль | Отправить PM | Цитировать


ShaddyR, вернёмся к нашим баранам — как исполнять logon/logout-скрипты под пользователем, если задать ему запрет на использование пакетных файлов, скриптов WSH и PowerShell? Я пытаюсь объяснить, что мы таким макаром не пользователя ограничиваем (пользователь всё равно дальше своего профиля не сунется, привилегий-то нет), мы администратору мешаем.

Последний раз редактировалось Iska, 31-03-2019 в 22:11. Причина: Описка: «потаюсь» → «пытаюсь».

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:26, 31-03-2019 | #24


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 23291
Благодарности: 4195

Профиль | Сайт | Отправить PM | Цитировать


Iska, а ты все сообщения подряд читаешь или по какому-то другому принципу?
Цитата Iska:
как исполнять logon/logout-скрипты под пользователе »
->
Цитата ShaddyR:
DWORD-параметр DisableCMD = 2 - не? »
>
Цитата Iska:
пользователь всё равно дальше своего профиля не сунется, привилегий-то нет »
пользователь может и не сунуться. А запущенное от его имени - вполне. Или ты свято веруешь в то, что все дыры по получению\смене привилегий под пользователем в серверных ОС давно заделаны? Оставлять дырку в заборе со словами "та тут никто обычно не ходит" - ну-ну.

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || Мой shaddyr.at.ua/blog: Подарите мне сервак, подарите!


Последний раз редактировалось ShaddyR, 01-04-2019 в 03:27.


Отправлено: 03:22, 01-04-2019 | #25


Ветеран


Сообщения: 2991
Благодарности: 631

Профиль | Отправить PM | Цитировать


ShaddyR, ты сам себе противоречишь, политика про которую ты твердишь (DisableCMD = 2) запретит только интерактивный запуск консоли, а batch-файлы разрешит вообще, не ограничиваясь logon/logoff.
Т.е. ставишь палки в колёса пользователю, который может и не сунуться? и даёшь зелёный свет всему запущенному от его имени.

Цитата ShaddyR:
Оставлять дырку в заборе со словами "та тут никто обычно не ходит" »
Как раз наоборот, это ты ориентируешься не на закрытие дырки, а на какие-то косвенные меры.

Отправлено: 10:53, 01-04-2019 | #26


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 23291
Благодарности: 4195

Профиль | Сайт | Отправить PM | Цитировать


Цитата Busla:
запретит только интерактивный запуск консоли, а batch-файлы разрешит вообще, не ограничиваясь logon/logoff.
Т.е. ставишь палки в колёса пользователю, который может и не сунуться? и даёшь зелёный свет всему запущенному от его имени. »
не понимание концепции не противоречит ее жизнеспособности. Твой случай. Еще раз, надеюсь последний: юзер НЕ должен САМ что-либо запускать. Большая часть вредоносов использует командную строку как таковую, а НЕ bat'ники. Юзер может запускать только ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором. Прекращайте рисовать непонимание очевидных вещей.

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || Мой shaddyr.at.ua/blog: Подарите мне сервак, подарите!


Отправлено: 15:59, 01-04-2019 | #27


Ветеран


Contributor


Сообщения: 24481
Благодарности: 7114

Профиль | Отправить PM | Цитировать


Цитата ShaddyR:
Iska, а ты все сообщения подряд читаешь или по какому-то другому принципу? »
Я читал. И не могу понять. Пакетные файлы мы ему разрешаем исполнять — ну, и смысл запрета тогда в чём был?

Цитата ShaddyR:
пользователь может и не сунуться. А запущенное от его имени - вполне. Или ты свято веруешь в то, что все дыры по получению\смене привилегий под пользователем в серверных ОС давно заделаны? Оставлять дырку в заборе со словами "та тут никто обычно не ходит" - ну-ну. »
Я свято верую в то, что либо мы используем существующую парадигму, либо меняем профессию. Дырки в заборе используют ошибки в существующем легальном программном обеспечении, в том числе и самой ОС, как, например, это было с обработчиком изображений в библиотеке WIA, как это было с обработчиком lnk-файлов, с обработчиком иконок и т.п. Понимаете? Не требовалось для этого ни пакетных файлов, ни скриптов, ни исполняемых файлов — достаточно было просто зайти в Проводнике в каталог с включённым отображением иконок, с включённым отображением превьюшек, просто попытаться запустить ярлык — и этого было достаточно.

Цитата ShaddyR:
Большая часть вредоносов использует командную строку как таковую, а НЕ bat'ники. »
Поясните. Мне таковые не попадались.

Цитата ShaddyR:
Юзер может запускать только ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором. »
Так описанная Вами политика никак не поможет отличить «ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором» от созданных пользователем. Она просто разрешает исполнение любых пакетных файлов и запрещает открытие интерпретатора команд.

Отправлено: 17:32, 01-04-2019 | #28


Аватара для ShaddyR

Железных Дел Мастер


Moderator


Сообщения: 23291
Благодарности: 4195

Профиль | Сайт | Отправить PM | Цитировать


Цитата Iska:
Так описанная Вами политика никак не поможет отличить «ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором» от созданных пользователем. Она просто разрешает исполнение любых пакетных файлов и запрещает открытие интерпретатора команд. »
Т.е. если я тебе скажу, что пользователю можно запретить запускать батники откуда-либо, кроме рабочего стола и никакие другие папки ему доступны не будут, равно как и возможности писать на рабочий стол у него нет - ты наконец уловишь идею?
Как дети, чесслово. Мне начало поднадоедать доносить простые вещи. Хочешь уяснить для себя что-то, выходящее за пределы твоего понимания - создай соотв. тему и задавай вопросы в ней. 17 сообщений оффтопа в теме не кажутся тебе перебором?

-------
[FAQ] Как определить аппаратную конфигурацию компьютера и правильно задать вопрос
-------
В благодарность за помощь нажимаем ссылочку "Полезное сообщение" внизу этого самого сообщения (подробнее). Помните: админ конфеты НЕ ПЬЁТ ;)
-------
Говори, что думаешь и думай, что говоришь! (c) || Мой shaddyr.at.ua/blog: Подарите мне сервак, подарите!


Отправлено: 02:40, 02-04-2019 | #29



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019 » 2016 - RDP

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - Remoteapp через rdp, но с блокировкой rdp соединения к рабочему столу. zrkyuseoOptimusGood8 Windows Server 2008/2008 R2 2 02-12-2013 21:18
2008 R2 - [решено] Нельзя войти в RDP сессию с сохраненными в ярлыке RDP логином и паролем CyberMuesli Windows Server 2008/2008 R2 5 20-07-2012 18:05
2008 R2 - Возможно ли "RDP через RDP" или как-то иначе? Поясняю.. Tooree Windows Server 2008/2008 R2 25 07-10-2011 00:40
Службы - rdp window 98 vs rdp windows xp Gimler Microsoft Windows 2000/XP 6 24-09-2009 03:04
Web Proxy RDP (RDP over HTTPS) server 2003 merdzd Microsoft Windows NT/2000/2003 1 03-04-2009 17:33




 
Переход