Как закрыть доступ к диску d другому пользователю windows server
администратор сервера может управлять доступом к любым папкам сервера (таким как общие папки при доступе к панели запуска, удаленному Веб-доступ, моему серверному приложению для Windows Phone или моему серверному приложению для Windows 8) на сервере с помощью задач на вкладке « папки сервера » панели мониторинга, что позволяет пользователям менять уровни доступа к различным файлам.
В следующих разделах приводятся сведения, которые помогут вам, как создавать папки сервера и управлять ими.
Управление доступом к папкам сервера
Windows Server Essentials позволяет сохранить файлы, расположенные на клиентских компьютерах, в центральном расположении с помощью папок сервера. Хранение файлов в папках сервера гарантирует, что файлы всегда будут безопасно доступны с каждого клиента.
Используя папки сервера для хранения файлов, вы сможете:
создавать резервную копию папки сервера с помощью службы резервного копирования и восстановления сервера для защиты от сбоев сервера;
получать доступ к файлам, которые хранятся в папке сервера, из любого расположения с помощью браузера (удаленный веб-доступ) или с помощью приложений My Server для Windows Phone и Windows 8;
получать доступ к папке сервера с любого клиентского компьютера.
Вы можете управлять доступом к любым папкам сервера с помощью задач на вкладке Папки сервера панели мониторинга. В следующей таблице перечислены папки сервера, создаваемые по умолчанию при установке Windows Server Essentials или при включении потоковой передачи мультимедиа на сервере.
Сведения о том, как скрыть или задать разрешения для папок сервера или изменить свойства папки сервера, см. в следующих разделах:
Управление папками сервера с помощью панели мониторинга
Windows Server Essentials позволяет выполнять общие задачи администрирования с помощью панели мониторинга. На странице Папки сервера панели мониторинга представлены следующие сведения.
Список папок сервера, где отображаются:
объем свободного пространства, которое будет доступно в папке;
краткое описание всех задач, которые выполняются с папкой; поле Состояние пусто, если папка исправна и никакие задачи не выполняются;
область сведений, где может быть представлена дополнительная информация о выбранной папке;
область задач, которая включает в себя набор административных задач, связанных с папкой.
В следующей таблице описаны различные задачи папок сервера, доступные на панели мониторинга Windows Server Essentials. Большинство задач зависят от папки и отображаются только при выборе папки в списке.
65011711
Откуда взялась эта цифра ? Цифра взялась из расчета
Основная суть:
Буквы дисков представляют собой обратную последовательность, переведенную в двоичный код %)
Что надо запретить, там 1. Что оставить, там 0. Берем двоичный ряд, и переводим его любым доступным нам способом в десятичную систему. На выходе получаем нужное нам число.
После проделанных манипуляций с редактированием файлов. Открываем GPO. И смотрим появилось ли необходимое меню.
Сводка
С помощью объектов групповой политики в Windows существует параметр "Скрыть указанные диски в моем компьютере", который позволяет скрыть определенные диски. Однако может потребоваться скрыть только определенный диск, но сохранить доступ к другим.
Существует семь вариантов ограничения доступа к дискам по умолчанию. Вы можете добавить другие ограничения, изменяя файл System.adm для политики домена по умолчанию или любого настраиваемого объекта групповой политики (GPO). Семь выборов по умолчанию:
- Ограничение только дисков A, B, C и D
- Ограничение только дисков A, B и C
- Ограничение только дисков A и B
- Ограничение всех дисков
- Ограничение только диска C
- Ограничение только диска D
- Не ограничивая диски
Корпорация Майкрософт не рекомендует изменять файл System.adm, а вместо этого создавать новый файл .adm и импортировать этот .adm в GPO. Причина в том, что при применении изменений к файлу system.adm эти изменения могут перезаписываться, если Корпорация Майкрософт выпустит новую версию файла system.adm в Пакет обновления.
Скрытие папок сервера
Сетевой администратор может скрыть любую папку сервера, после чего они не будут отображаться на веб-сайте удаленного веб-доступа или в приложениях веб-служб (таких как My Server).
Для выполнения этой процедуры необходимо быть сетевым администратором.
Скрытие папок сервера с веб-сайта в удаленного веб-доступа
Откройте панель мониторинга Windows Server Essentials.
В представлении списка выберите папку сервера, свойства которой требуется просмотреть или изменить.
В области задачи Серверфолдер > щелкните >.
В свойствах папки имя_папки >щелкните >, выберите Скрыть эту папку от удаленного веб-доступ и приложений веб-службы, а затем нажмите кнопку Применить.
Теперь будем добавлять пункт меню.
Нас интересует раздел:
Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Проводник
- Запретить доступ к дискам через «Мой компьютер»
- Скрыть выбранные диски из окна «Мой компьютер»
Именно в параметры этих двух разделов будет добавлен выбор «Ограничить доступ к дискам кроме V»
Открываем папку с нашим центральным хранилищем
Для начала создадим переменную с описанием строки.
Откроем для редактирования файл:
И добавим строку
Должно выйти вида
Фактически мы добавили «переменную» Vonly.
Теперь необходимо задать ей действие.
Откроем для редактирования файл:
Поиском ищем где расположено само меню. Можно искать по ABConly
И добавим строку
Должно выйти вида
Добавить необходимо в два места.
Эти разделы повторяются в файле дважды .
Добавление или перемещение папки сервера
Вы можете добавить дополнительные папки сервера для хранения файлов на сервере, в дополнение к папкам сервера по умолчанию, которые создаются во время установки. Папки сервера можно добавить на основном или рядовом сервере под управлением Windows Server Essentials.
При необходимости вы можете переместить папку сервера, которая находится на основном сервере под управлением Windows Server Essentials и отображается на вкладке Папки сервера панели мониторинга, на другой жесткий диск с помощью мастера перемещения папки. Папку сервера можно переместить в другое расположение на жестком диске, если:
На жестком диске недостаточно места для хранения данных.
Вы хотите изменить место хранения по умолчанию. Для более быстрой операции переместите папку сервера, когда она не содержит данных.
Требуется удалить существующий жесткий диск без потери папок, расположенных на нем.
Перед перемещением папки необходимо убедиться в следующем:
Создана резервная копия сервера.
Все операции резервного копирования клиента остановлены, если планируется переместить папку архивации клиентских компьютеров. При перемещении папки архивации клиентских компьютеров сервер не сможет создать резервную копию всех клиентских компьютеров до завершения перемещения папки.
Сервер не выполняет каких-либо важных системных операций. Рекомендуется завершить все выполняемые обновления или операции резервного копирования, перед началом перемещения папки, иначе процесс займет больше времени.
Ни один из файлов в перемещаемой папке не используется. Вы не сможете получить доступ к папке сервера при ее перемещении.
Перемещение папки из файловой системы NTFS в ReFS не поддерживается, если файлы в папках сервера реализуют следующие технологии:
Простые советы, представляющие собой пошаговые инструкции по оптимизации и работе в операционных системах Win7, Vista, Win XP. Описание и работа популярных программ. Безопасность ПК. Советы не переполнены терминологией и доступны для повторения даже начинающему пользователю.
Установка разрешений для папок сервера
Для любой папки сервера, добавленной на сервер с помощью панели мониторинга, можно выбрать три разных параметра доступа:
Чтение и запись
Выберите этот параметр, чтобы разрешить этому пользователю создание, изменение и удаление всех файлов в папке сервера.
Только для чтения
Выберите этот параметр, чтобы разрешить этому пользователю только чтение файлов в папке сервера. Пользователи с доступом только для чтения не могут создавать, изменять или удалять файлы в папке сервера.
Нет доступа
Выберите этот параметр, если требуется запретить доступ к файлам в папке сервера этому пользователю.
Разрешения, которые отображаются в диалоговом окне свойств папки, представляют только пользователей, которыми управляет панель мониторинга. В них не входят разрешения пользователей, например групп или учетных записей служб, или разрешения, которые можно установить для папки с помощью других стандартных средств, а также пользователей, которые не были добавлены через панель мониторинга.
Для выполнения этой процедуры необходимо быть сетевым администратором.
Установка разрешений для папки сервера
Откройте панель мониторинга Windows Server Essentials.
В представлении списка выберите папку сервера, свойства которой требуется просмотреть или изменить.
В области задачи Серверфолдер > щелкните >.
В свойствах имя_папки >щелкните >и выберите соответствующий уровень доступа пользователя для перечисленных учетных записей пользователей, а затем нажмите кнопку Применить.
По умолчанию при добавлении учетной записи пользователя в сети для нее создается вложенная папка в папке Пользователи на сервере. Доступ к этой вложенной папке может получить только пользователь или администратор с компьютера, подключенного сети. Разрешения задаются для каждой вложенной папки в папке Пользователи, поэтому для папки Пользователи нет общих разрешений доступа.
Разрешения общего доступа для папок сервера Архивы журналов файлов, Перенаправление папок и Пользователи не могут быть изменены. Следовательно, в окнах свойств этих папок сервера вкладка Общий доступ отсутствует.
Просмотр и изменение свойств папки сервера
Вы можете изменить имя папки сервера, ее описание и определить, у каких учетных записей есть доступ к ней, с помощью задачи Просмотреть свойства папки на вкладке Папки сервера панели мониторинга.
в Windows server essentials и Windows Server 2012 R2 с установленной ролью Windows Server essentials можно также изменить квоту папки.
Просмотр и изменение свойств папки
Откройте панель мониторинга Windows Server Essentials.
В представлении списка выберите папку сервера, свойства которой требуется просмотреть или изменить.
В области задачи Серверфолдер > щелкните >.
В свойствах имя_папки >на вкладке > просмотрите или измените имя и описание папки сервера.
Приветствие
Дополнительная информация
Расположение файла System.adm по умолчанию для политики домена по умолчанию:
Содержимое этих папок реплицируется в домене службой репликации файлов (FRS).
Папка Adm и ее содержимое не заполняются до тех пор, пока по умолчанию политика домена не будет загружена впервые.
Внесение изменений в эту политику для одного из семи значений по умолчанию:
Эти параметры удаляют значки, представляющие выбранные жесткие диски из my Computer, Windows Explorer и My Network Places. Кроме того, эти диски не отображаются в диалоговом окне Open любых программ.
Эта политика предназначена для защиты определенных дисков, в том числе дискетного диска, от неправильного использования. Его также можно использовать для того, чтобы направлять пользователей на сохранение работы на определенных дисках.
Чтобы использовать эту политику, выберите диск или комбинацию дисков в выпадаемом поле. Чтобы отобразить все диски (скрыть их нет), отключите эту политику или нажмите кнопку Не ограничивать диски.
Эта политика не мешает пользователям использовать другие программы для получения доступа к локальным и сетевым дискам или не позволяет им просматривать и изменять характеристики дисков с помощью оснастки Disk Management.
Значения по умолчанию не являются единственными значениями, которые можно использовать. При редактировании файла System.adm можно добавить собственные настраиваемые значения. Это часть system.adm, которая должна быть изменена:
В разделе [строки] представлены замены фактических значений в выпадаемом поле.
Эта политика отображает только указанные диски на клиентский компьютер. Ключ реестра, на который влияет эта политика, использует десятичный номер, соответствующий 26-битной двоичной строке, при этом каждый бит представляет букву диска:
Эта конфигурация соответствует 67108863 десятичной и скрывает все диски. Если вы хотите скрыть диск C, сделайте третий-самый низкий бит 1, а затем преобразуем двоичную строку в десятичную.
Нет необходимости создавать параметр, чтобы показать все диски, так как очистка окна удаляет запись "NoDrives" полностью, и все диски автоматически показаны.
Если вы хотите настроить эту политику, чтобы показать другую комбинацию дисков, создайте соответствующую двоичную строку, преобразуйте десятичную и добавьте новую запись в раздел ITEMLIST с соответствующей записью [строки]. Например, чтобы скрыть диски L, M, N и O, создайте следующую строку
и преобразовать в десятичной. Эта двоичная строка преобразуется в 30720 в десятичном. Добавьте эту строку в раздел [строки] в файле System.adm:
LMNO_Only="Ограничение только дисков L, M, N и O"
Добавьте эту запись в разделе ITEMLIST выше и сохраните файл System.adm.
ИМЯ !! LMNO_Only ЗНАЧЕНИЕ NUMERIC 30720
Это создает восьмую запись в выпадаемом поле, чтобы скрыть диски L, M, N и O только. Используйте этот метод, чтобы включить больше значений в поле drop-down. Измененный раздел файла System.adm выглядит следующим образом:
В этом разделе [строки] представлены замены фактических значений в выпадаемом поле.
Первым делом разберемся с административными шаблонами.
Чтобы знать что где находится, нам необходимо настроить Централизованное хранилище административных шаблонов (Group Policy Central Store)
Идем на сайт Microsoft и качаем готовые шаблоны для Windows 8 и Windows Server 2012
Administrative Templates (.admx) for Windows 8.1 and Windows Server 2012 R2
Ставим по умолчанию методом «далее далее»
Идем по пути C:\Program Files (x86)\Microsoft Group Policy\Windows 8.1-Windows Server 2012 R2\ и копируем папку PolicyDefinitions в папку C:\Windows\SYSVOL\sysvol\ИМЯ_ДОМЕНА\Policies\
После этого открываем групповую политику и смотрим что у нас получилось
Если видим слова «центральное хранилище» значит операция прошла удачно и можно продолжать.
четверг, 13 октября 2011 г.
Монтирование диска V
Для монтирования диска добавлен LOGON скрипт для пользователя
Редактируем файл скрипта:
Две последние строки cacls, представляют из себя костыль блокирования записи на рабочий стол пользователем и здесь не обязательны. Оставил чтобы потом не искать.
В одном из прошлых видео мы рассматривали процесс поднятия роли сервера терминалов.
В этом же уроке предлагаю более детально рассмотреть процесс ограничения прав пользователя на терминальном сервере. Да, по умолчанию он лишен административных прав и много чего не может, однако, все равно к этому вопросу нужно отнестись более внимательно, так как пользователь все же находится на самом главном устройстве в вашей компании.
Регистрируйся на следующий вебинар по системному администрированию!
Так что стоит детально проанализировать, что пользователю делать можно, а что нет.
По сути тут может быть две ситуации, когда терминальный сервер реализован в рамках доменной сети, и все пользователи хранятся на контроллере домена. И в ситуации, когда сеть одноранговая и учетками, под которыми будут подключаться пользователи к терминальному серверу, мы управляем непосредственно на терминальном сервере.
Как правило такая схема подходит для небольших компаний, у которых какая-то служба реализована на терминальном сервере, допустим 1С.
Все это я более подробно рассказывал и показывал в видео по настройке терминального сервера! Для тех, кто его не видел, я оставлю ссылку к данному видео. И если вы не понимаете, о чем речь, то для начала посмотрите его.
И так, когда мы попадаем на сервер под учеткой обычного терминального пользователя, мы не можем установить софт, однако, нам доступно довольно много различных возможностей:
- доступ к системным дискам
- можно запускать приложения, которые могут не относиться к работе пользователя
- запустить диспетчер серверов
- доступ к элементам панели управления
- доступ к диспетчеру задач
- доступ к командной строке
Давайте приступим к устранению этих недостатков.
Скажу сразу, что все что я буду показывать, это скорее базовые ограничения пользователей, которые нужно выполнить в первую очередь. Однако, на практике бывает множество различных дополнительных ограничивающих политик, так что буду очень рад, если вы в комментариях также поделитесь своим опытом из разряда, что запретили, зачем и как. Таким образом можно будет составить более развернутую картину, ну и записать вторую, а может быть и третью часть данного видео.
Думаю, что нам это вполне по силам ;-) Так как тема действительно интересная и меня уже не один раз расспрашивали по поводу ограничивающих политик.
1) Доступ к жестким дискам сервера
Запретить доступ к данным системных дисков можно через групповую политику, но, если мы попытаемся её изменить через Выполнить \ gpedit.msc то мы изменим групповую политику для всех пользователей на данном сервере, так что изменения затронут как терминальных пользователей, так и административные учетные записи.
А нам нужно ограничить в правах именно учетные записи, которые не имеют административные права на сервере. Для этого запустим редактор групповой политики через консоль (Выполнить \ mmc \ Файл \ Добавить \ Редактор объектов групповой политики \ Обзор \ Пользователи \ Не администраторы \ ОК \ Готово \ ОК) При желании таким образом можно настроить политики для отдельных пользователей.
Конфигурация пользователя \ Административные шаблоны \ Компоненты Windows \ Проводник \ Запретить доступ к дискам через Мой компьютер \ Включена \ Выполнить \ cmd \ gpupdate /force
Причем у вас не получится не просто получить доступ к корню диска, а к любой папке через проводник (Рабочий стол, Загрузки и т.д. Даже если на рабочем столе создать папку и зайти в неё) В общем, везде где есть путь к расположению файла.
Однако, через файловые менеджеры, например тотал коммандер получить доступ к файлам можно. Или через командную строку
Поэтому, более тонко можно настроить через редактирование NTFS прав на файлы и папки (Диск D \ ПКМ \ Свойства \ Безопасность \ Удалить Все и Пользователи \ Добавить к нужной папке пользователя в права, как правило это папка с базой данных и т.д.
Тут уже через файловый менеджер не получится открыть диск и файлы.
Если какая-то нужная папка, то можно разместить ярлык на рабочем столе, где будет фактический путь и поместить в папку для всех пользователей (C:\Users\Public\Desktop \ Разрешить отображение скрытых файлов и папок \ Копировать туда ярлык с папкой и у всех удаленных пользователей появится на рабочем столе эта папка)
Так же от сюда можно убрать различные приложения, которые могут мешать пользователю и засорять его рабочий стол.
2) Запрет запуска приложений (Административные шаблоны \ Система \ Не запускать указанные приложения Windows \ TOTALCMD.EXE)
3) Запретить элементы панели управления (Административные шаблоны \ Панель управления \ Запретить доступ к панели управления и параметрам компьютера)
4) Запретить диспетчер серверов (Административные шаблоны \ Система \ Не запускать указанные приложения Windows \ ServerManager.exe)
5) Запретить диспетчер задач (Административные шаблоны \ Система \ Варианты действий после нажатия CTRL+ALT+DEL \ Удалить диспетчер задач \ Включено)
6) Запрет командной строки (Административные шаблоны \ Система \ Запретить использование командной строки)
Удобная штука, чтобы убрать какие-то ограничения, можно не искать где вы их прописали, а перейти во все параметры, сортировка по состоянию и быстро узнать какие параметры включены.
Пишите в комментариях или мне в личку свои заметки по различным ограничениям, которые внедряете на практике. Как будет достаточно интересных дополнений, выпущу вторую часть ;-)
В этой статье приводится ряд сведений об использовании объектов групповой политики для сокрытия указанных дисков.
Применяется к: Windows 10 — все выпуски
Исходный номер КБ: 231289
Задачи для папок сервера на панели мониторинга
Имя задачи | Описание |
---|---|
Открыть папку | Отображение содержимого выбранной папки в проводнике (в предыдущих версиях Windows — проводник Windows). |
Удалить папку | Позволяет удалить папку, созданную пользователем. Эта задача недоступна для папок по умолчанию, которые создаются при установке сервера. |
Переместить папку | Открывает мастер, который позволяет переместить папку сервера в новое расположение. |
Остановить общий доступ к папке | Прекращение общего доступа к выбранной папке, при этом папка не удаляется. Если к папке не предоставляется общий доступ, она не отображается на панели мониторинга. Эта задача недоступна для папок по умолчанию, которые создаются при установке сервера. |
Просмотр свойств папки | Отображение свойств выбранной папки. Вы можете: |
-Изменить имена папок, созданных пользователем.
-Изменить описание для выбранной папки.
— Просмотр размера папки.
— Открыть выбранную папку в проводнике.
— Укажите разрешения на доступ к учетной записи пользователя для выбранной папки.
-Скрыть выбранную папку из удаленных Веб-доступ и приложений веб-служб.
Отключить или запретить доступ к дискам
Запретить или вообще скрыть доступ к дискам из окна "Мой компьютер" можно с помощью редактора групповых полисов. Для этого запустите редактор групповых полисов, нажав "Пуск" и в поле ввода наберите команду gpedit.msc, нажмите " Enter ". В открывшемся окне выберете "Конфигурация пользователя", "Административные шаблоны", "Компоненты Windows" и "Проводник Windows ".
Если нужно скрыть диски, в левой части окна редактора прокрутите ползунок до пункта - Скрыть выбранные диски из окна "Мой компьютер".
Щелкните на нем дважды клавишей мышки. Откроется окно изменения параметров политики, в котором активируйте пункт "Включить".
Эта функция удаляет значки выбранных дисков из папки "Мой компьютер", а так же из проводника Windows. Кроме этого буквы выбранных дисков не будут отображаться в диалоговом окне "Открыть". Раскройте список вариантов комбинаций, щелкнув по треугольнику, и выберете диск или группу дисков.
Нажмите ОК. Что бы диски вновь отображались нужно отключить этот параметр или выбрать пункт "Не ограничивать доступ к дискам".
Выбранный параметр удаляет значки дисков, но пользователь может получить доступ к содержимому скрытых дисков другим методом, если например, указать путь к папке в окне "Выполнить" или из командной строки. А так же при использовании оснастки "Управление дисками" для просмотра и изменения характеристик дисков.
Итак. Потребовалось ограничить терминальным пользователям доступ к дискам средствами групповой политики AD.
С одним условием. Один диск необходимо оставить.
И все бы ничего. Но в GPO Windows Server 2012 R2 нет такого пункта
- Ограничить доступ к дискам A, B, C и D
- Ограничить доступ к дискам A, B и C
- Ограничить доступ к дискам A и B
- Ограничить доступ ко всем дискам
Будем добавлять строчку:
Читайте также: