2008 R2 - Запрет на запись в сетевые ресурсы из WinServ2008R2

MaleyDarc · Отправлено: **14:52, 12-12-2011** | #2

Конечно есть решение.
Два разных логина на одного пользователя. Один для обычной работы, второй для RDP. Права раздать соответственно.

Feonik · Отправлено: **15:51, 12-12-2011** | #3

Проблема в том, что пользователи подключаются к серверу только по RDP. То есть сейчас у пользователя есть возможность читать и писать в папки типа

\\server_smb\share\
и
\\tsclient\d

Нужно оставить только чтение с этих папок. Причем независимо от настроек на удаленной стороне. Если на той стороне разрешена запись, то у нас должна сработать блокировка на запись в такие папки.

Denis Dyagilev · Отправлено: **16:53, 12-12-2011** | #4

Для чего в таком случае вообще разрешать пользователям маппировать локальные диски в терминальную сессию?

Feonik · Отправлено: **17:25, 12-12-2011** | #5

Чтобы с них можно было что-то прочитать. А вообще это к руководству - зачем

Поставили задачу, вот и ищу решение.

DmitriiV · Отправлено: **14:18, 13-12-2011** | #6

Цитата Feonik:

Нужно оставить только чтение с этих папок. Причем независимо от настроек на удаленной стороне. »

Ну, независимо, вероятнее всего, не получится.
Решение, которое видится, заключается в том, чтобы тем или иным способом (сценарием, например) изменять SMB-разрешения соответствующих ресурсов при начале/завершении сеанса.
Суть изменения - добавлять в ACL/удалять из ACL запись типа ЗАПРЕТ (ACCESS_DENIED_ACE_TYPE) с маской доступа 0x40000000 (GENERIC_WRITE) для конкретного пользователя (группы пользователей).

Feonik · Отправлено: **14:38, 13-12-2011** | #7

Цитата DmitriiV:

Решение, которое видится »

Благодарю, есть о чем подумать, жаль, что без независимости. Но это в отношении "обычных" сетевых шар и, как я понял, только на основе NTFS под Windows. Для Samba надо как-то иначе, но похоже, что-то подобное, раз уже не независимо.

А как быть в отношении RDP-дисков? Особенно если человек подключается с Win98 или Linux, где нет NTFS-разрешений?

Denis Dyagilev · Отправлено: **14:43, 13-12-2011** | #8

Маппирование дисков в RDP сессию легко запрещается политиками терминального сервера.

Feonik · Отправлено: **14:58, 13-12-2011** | #9

Цитата Denis Dyagilev:

Маппирование дисков в RDP сессию легко запрещается политиками терминального сервера. »

Это если совсем закрыть доступ. А как оставить только для чтения?

DmitriiV · Отправлено: **15:01, 13-12-2011** | #10

Речь шла хотя и о Windows, но вовсе не о безопасности NTFS, а именно о разрешениях на доступ к общему ресурсу.
Про Win98 и *nix - ничего не скажу (первое давно забыто, со вторым не работаем).
В любом случае данный метод годится только в том случае, когда управление доступом предполагает и разрешающие, и запрещающие записи с преобладанием приоритета запрета над разрешением.