Rds отключить маппинг локальных дисков
Проблема такая:
Есть терминальный сервер на Server 2008 R2.
Как запретить пользователям копировать ФАЙЛЫ из-под терминала и под терминал?
При этом копирование текста и графики надо разрешить! Т.е. запрещать мапить клипборд нельзя.
В Server 2003 проблема решалась запретом мапить диски. Точнее, и проблемы-то этой не было.
Но в 2008 это не работает
В Server 2003 проблема решалась запретом мапить диски. Точнее, и проблемы-то этой не было.
дело не в версии сервера, а в версии клиента рдп.
начиная с версии 5.2 появилась возможность копирования файлов. причем запретить это можно только отключением буфера обмена.
Как запретить пользователям копировать ФАЙЛЫ из-под терминала и под терминал?
При этом копирование текста и графики надо разрешить!
только рдп-клиентом версии ниже 5.2
Alexdl, спасибо за разъяснение.
А может есть какая программа, которая на стороне сервера проверяет буфер обмена?
Кстати, в каждой сессии запускается процесс rdpclip.exe. Чем он вообще занимается?
С клиентом как-то непонятно получается.
Клиент-то один и тот же (тот, что стоит в XP SP3). Из-под 2003 он файлы не копирует, а из-под 2008 - копирует. Или он по разным протоколам работает?
запускается процесс rdpclip.exe. Чем он вообще занимается?
Программа обмена между буфером обмена локального компьютера с буфером другого компьютера к которому он подключен через службу терминалов.
версии 5.1 нет под рукой, искать поленился). но там вообще не должно быть обмена файлами по терминальной сессии.
Ну, на XP у меня давно везде стоит клиент 6.0. И с сервера 2003 файлы не копируются.
На 2008 поднят сервер терминалов.
Запрещать мапить диски со стороны клиента - бесполезно. Не будут же юзеры сами себе запрещать что-то стащить с сервера! Так что надо закрывать именно со стороны сервера.
В идеале надо тупо ограничить размер буфера обмена, например, 1кб. Текст пролезет, а что-то более серьёзное - нет.
Запрещать мапить диски со стороны клиента - бесполезно. Не будут же юзеры сами себе запрещать что-то стащить с сервера! Так что надо закрывать именно со стороны сервера.
запретите со стороны сервера)
имеет смысл посмотреть tscc.msc(параметры клиента)
в 2003 решается просто tscc.msc-параметры клиента-отключить следующие возможности-сопоставление дисков.
2008 терминала под рукой нет, но не думаю что там принципиальные различия.
в 2003 решается просто tscc.msc-параметры клиента-отключить следующие возможности-сопоставление дисков.
2008 терминала под рукой нет, но не думаю что там принципиальные различия.
Так я именно эти и делаю. Только в 2003 оно работает, а в 2008 оно нет :(
Кстати, в 2008 оснастка называется tscofig.msc
а домен случаем не поднят?
из танцев с бубном возможно поможет:
1. gpedit.msc-Конфигурация компьютера-Политики-Административные шаблоны-Компоненты Windows-Службы удаленных рабочих столов-Узел сеансов удаленных рабочих столов-Перенаправление устройств и ресурсов-Не разрешать перенаправление дисков - Включить.
2. lusrmgr.msc(локальные пользователи и группы)- свойства пользователя- среда- подключение дисков клиента.
хотя поидее приоритет tsconfig.msc должен быть выше.
Домена нет.
А в обеих этих настройка я диск давно отключил - не помогло :(.
Из соображений безопасности пришлось отключить буфер обмена вообще. Теперь все пользователи матерятся, что нельзя в терминал адрес или ссылку скопировать.
Домен разбит на OU. В одной OU имеется удаленный терминал, через который пользователи со слабыми машинами запускают сетевую программу. При входе на этот терминал, как и при входе в сеть, у них отрабатывает логон-скрипт и подключаются необходимые сетевые диски.
Теперь необходимо к этой сетевой программе подключить пользователя из другой OU. В этой другой OU нет практики использования логон-скриптов (почему - долгая история), поэтому, когда такой пользователь заходит на терминал, естественно, он видит чистый рабочий стол. Открыть необходимый диск или сослаться на него можно по относительной ссылке. Но для запуска программы (это 1С: Предприятие 7.7) необходим "замапленный" сетевой диск под определенной буквой.
Вопрос: Каким образом замапить сетевой ресурс этому пользователю?
Ответы
нажмите Start > Run > впечатайте MMC и нажмите Enter > теперь нажмите Ctrl+M > Add > Group Policy Object Editor (редактор объектов групповых политик) > еще раз Add > Finish > Close > Ok
У Вас Должно быть видно Local Computer Policy, вот в ней всё есть.
Только изменение локальных политик в Вашем случае ни при чем.
У Вас ведь домен и терминальный сервер, как я понял, в домене. Плюс ко всему, я почти уверен что Вы не сможете изменить локальные политики на терминальном сервере, так как у Вас не будет прав.
Самый простой способ обратиться к томе кто имеет права в домене, чтоб он подправил необходимые политики.
сила в справедливости
Все ответы
или как вариант положите пользователям на рабочий стол вот такой bat файл:
net use z: \\server\share persistent:yes
пользователям надо будет выполнить его всего лишь 1 раз, и после этого можете убирать bat файл с рабочего стола, т.к. сетевой диск будет переподключаться при логоне.
сила в справедливости
Увы, у нас нет прав использовать групповые политики ;(
или как вариант положите пользователям на рабочий стол вот такой bat файл:
net use z: \\server\share persistent:yes
пользователям надо будет выполнить его всего лишь 1 раз, и после этого можете убирать bat файл с рабочего стола, т.к. сетевой диск будет переподключаться при логоне.
сила в справедливости
Да, вот только у пользователя запрет на исполнение файлов установлен, да и строки "Выполнить" нет, а это можно было бы сделать и из этой строки. А где это настроить я не нашел.
или как вариант положите пользователям на рабочий стол вот такой bat файл:
net use z: \\server\share persistent:yes
пользователям надо будет выполнить его всего лишь 1 раз, и после этого можете убирать bat файл с рабочего стола, т.к. сетевой диск будет переподключаться при логоне.
сила в справедливости
Да, вот только у пользователя запрет на исполнение файлов установлен, да и строки "Выполнить" нет, а это можно было бы сделать и из этой строки. А где это настроить я не нашел.
Это настраивается в групповых политиках пользователей (или в локальных политиках непосредственно на компьютерах, если групповые политики не в чести): Конфигурация пользователя - Административные шаблоны - Меню "Пуск" и панель задач. Там строка Выполнить и включается. Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
если у Вас нет прав изменять политики, то случай усложняется :-)
Вы сказали, чот пользователям запрещено исполнять файлы, какие именно? По пути, по хэшу, по расширению? Они ведь могут запускать Office, а значит могут выполнять exe файлы, может и bat смогут?
На счет CMD, to её можно вызвать следующим образом:
вызываете Task Manager (Ctrl+SHift+Esc) > далее идем в меню File > нажимаем клавишу Ctrl и удерживая её нажимаем на "New Task"
только вот незнаю будут ли пользователи всё это исполнять, и не испортят ли чего :-)
сила в справедливости
или как вариант положите пользователям на рабочий стол вот такой bat файл:
net use z: \\server\share persistent:yes
пользователям надо будет выполнить его всего лишь 1 раз, и после этого можете убирать bat файл с рабочего стола, т.к. сетевой диск будет переподключаться при логоне.
сила в справедливости
Да, вот только у пользователя запрет на исполнение файлов установлен, да и строки "Выполнить" нет, а это можно было бы сделать и из этой строки. А где это настроить я не нашел.
Это настраивается в групповых политиках пользователей (или в локальных политиках непосредственно на компьютерах, если групповые политики не в чести): Конфигурация пользователя - Административные шаблоны - Меню "Пуск" и панель задач. Там строка Выполнить и включается. Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
А что значит "Конфигурация пользователя"? Это где? Облазил все администрирование в управлении компьютером, спраку читал, ничего не нашел ;(
Написал батник который скрывает локальные диски через
Но тут возникла проблема. Под администратором все прекрасно работает. Как заставить данный ключ вносится в реестр под обычным терминальным пользователем, у которого нет админских прав?
Ответы
Удобнее это делать через групповую политику: "User Configuration" -> "Policies" -> "Administrative Templates" -> "Windows Components" -> "Windows Explorer" -> "Hide these specified drives in My Computer".
Эту политику создаете либо локально на сервере, либо прикручиваете к OU, где расположена учетная запись вашего терминального сервера, и включаете режим Loopback Processing ("Computer Configuration" -> "Policies" -> "Administrative Templates" -> "System" -> "Group Policy" -> "User Group Policy loopback processing mode").
P.S: А админские права и не нужны, чтобы импортировать ваш .reg-файл, так как все настройки пишутся в ветку текущего пользователя.
- Изменено Evgenii Alekseev 28 декабря 2012 г. 10:43
- Предложено в качестве ответа osr_ MVP 28 декабря 2012 г. 13:32
- Помечено в качестве ответа Yuriy Lenchenkov 14 января 2013 г. 14:15
Все ответы
Удобнее это делать через групповую политику: "User Configuration" -> "Policies" -> "Administrative Templates" -> "Windows Components" -> "Windows Explorer" -> "Hide these specified drives in My Computer".
Эту политику создаете либо локально на сервере, либо прикручиваете к OU, где расположена учетная запись вашего терминального сервера, и включаете режим Loopback Processing ("Computer Configuration" -> "Policies" -> "Administrative Templates" -> "System" -> "Group Policy" -> "User Group Policy loopback processing mode").
P.S: А админские права и не нужны, чтобы импортировать ваш .reg-файл, так как все настройки пишутся в ветку текущего пользователя.
- Изменено Evgenii Alekseev 28 декабря 2012 г. 10:43
- Предложено в качестве ответа osr_ MVP 28 декабря 2012 г. 13:32
- Помечено в качестве ответа Yuriy Lenchenkov 14 января 2013 г. 14:15
Проблема вот в чем. Есть домен контролер на котором "живут" пользователи. Эти пользователи подключаются к терминальному серверу. Так вот если через ГПО скрывать диски - то они пропадают локально на компьютерах пользователей и в терминальном сервере тоже.
А требуется реализовать следующим образом: локально диски остаются, при подключении к терминальному серверу дисков локальных сервера не должно быть видно. Вот как это можно реализовать?
Мне и нужно только скрыть. Диски должны быть доступны. Попробовал добавить через reg add. Сам батник отрабатывался прям под пользователем на терминальном серверe. Я в растерянности.
Так вот если через ГПО скрывать диски - то они пропадают локально на компьютерах пользователей и в терминальном сервере тоже.
А требуется реализовать следующим образом: локально диски остаются, при подключении к терминальному серверу дисков локальных сервера не должно быть видно. Вот как это можно реализовать?
Для OU, в котором находится терминальный сервер, вам следует настроить политику замыкания (Loopback Policy) в режиме замены (Replace). После настройки политики замыкания вы сможете настроить политику, скрывающую локальные диски и привязать ее к OU, в котором располагается терминальный сервер, а не пользователи.
Проблема вот в чем. Есть домен контролер на котором "живут" пользователи. Эти пользователи подключаются к терминальному серверу. Так вот если через ГПО скрывать диски - то они пропадают локально на компьютерах пользователей и в терминальном сервере тоже.
А требуется реализовать следующим образом: локально диски остаются, при подключении к терминальному серверу дисков локальных сервера не должно быть видно. Вот как это можно реализовать?
Я же вам сразу написал, что нужно активировать политику "Loopback Processing". Плюс к этому можно установить запрет на Apply (Security Filtering) для группы Domain Admins на GPO с параметром "Hide these specified drives in My Computer".
Простите, а можно "на пальцах"?
Я создаю OU. В свойствах этого OU через консоль "Групповые политики" я устанавливаю сначала Loopback Processing а далее через Hide these specified drives in My Computer скрываю диски. Потом перемещаю "Терминальный сервер" из папки Computers. При этом вся групповая политика применяется только к терминальному серверу, не затрагивая моих пользователей, которые управляются соседней ГП.
После чего все должно заработать? Я правильно понял?
Тогда возникает еще вопрос - через Hide these specified drives in My Computer я смогу скрыть только диски А, B, С и D. А как быть с другими дисками? Например диском H?
Задача - оставить возможность маппинга дисков только для определенных пользователей, остальным отключить.
Вопрос - возможно ли? В свойствах терминального сервера W2003 можно отключить эту опцию для всех, а так не хотелось бы.
На сами диски ставим в пермишены только тех пользователей, которым можно. Остальные в результате и не подключатся.
возможно, плохо задал вопрос- речь идет о подключении в терминальной сессии дисков локального компьютера, с которого инициируется вход на терминальный сервер. т.е. пользователь в сессии видит диски на терминальном сервере и на своем локальном компьютере
Как можно запретить указанное подключение локальных дисков для избранных пользователей?
Вытащить их в отдельный OU и добавить им в логон-скрипт net use * /delete.
Или просто попробовать на одном из пользователей. Вполне вероятно и не прокатит.
Кстати, можно с помощью GP запретить им обращаться к этим буквам дисков. Если не ошибаюсь, там такое есть.
Ещё можно глянуть, что есть в GP по терминалу. Вполне вероятно, там включается и выключается маппинг дисков.
Вытащить их в отдельный OU и добавить им в логон-скрипт net use * /delete.
Или просто попробовать на одном из пользователей. Вполне вероятно и не прокатит.
Кстати, можно с помощью GP запретить им обращаться к этим буквам дисков. Если не ошибаюсь, там такое есть.
Ещё можно глянуть, что есть в GP по терминалу. Вполне вероятно, там включается и выключается маппинг дисков.
в GP есть отключение маппинга, но . для всех, а задача стоит кое-кому оставить. А вот с буквами - т.е. разрешить доступ только к дискам с буквами терминального сервера, все остальные диски - запретить? Интересная модель, буду пробовать. Нужно только для всех, кто попадает под запрет делать новую группу
эта задача решается на уровне групповых политик и OU
тебе надо сделать 2 OU и намапить на них групповую политику в одной из который отключена возможность подключать локальный диски в другой ничего можно не трогать.
и обязательно поместить сервер терминалов (если это не контроллер домена) в ou где отключены диски, т.к. эта политика действует на уровне компьютеров.
Итак. Потребовалось ограничить терминальным пользователям доступ к дискам средствами групповой политики AD.
С одним условием. Один диск необходимо оставить.
И все бы ничего. Но в GPO Windows Server 2012 R2 нет такого пункта
- Ограничить доступ к дискам A, B, C и D
- Ограничить доступ к дискам A, B и C
- Ограничить доступ к дискам A и B
- Ограничить доступ ко всем дискам
Будем добавлять строчку:
Первым делом разберемся с административными шаблонами.
Чтобы знать что где находится, нам необходимо настроить Централизованное хранилище административных шаблонов (Group Policy Central Store)
Идем на сайт Microsoft и качаем готовые шаблоны для Windows 8 и Windows Server 2012
Administrative Templates (.admx) for Windows 8.1 and Windows Server 2012 R2
Ставим по умолчанию методом «далее далее»
Идем по пути C:\Program Files (x86)\Microsoft Group Policy\Windows 8.1-Windows Server 2012 R2\ и копируем папку PolicyDefinitions в папку C:\Windows\SYSVOL\sysvol\ИМЯ_ДОМЕНА\Policies\
После этого открываем групповую политику и смотрим что у нас получилось
Если видим слова «центральное хранилище» значит операция прошла удачно и можно продолжать.
Теперь будем добавлять пункт меню.
Нас интересует раздел:
Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Проводник
- Запретить доступ к дискам через «Мой компьютер»
- Скрыть выбранные диски из окна «Мой компьютер»
Именно в параметры этих двух разделов будет добавлен выбор «Ограничить доступ к дискам кроме V»
Открываем папку с нашим центральным хранилищем
Для начала создадим переменную с описанием строки.
Откроем для редактирования файл:
И добавим строку
Должно выйти вида
Фактически мы добавили «переменную» Vonly.
Теперь необходимо задать ей действие.
Откроем для редактирования файл:
Поиском ищем где расположено само меню. Можно искать по ABConly
И добавим строку
Должно выйти вида
Добавить необходимо в два места.
Эти разделы повторяются в файле дважды .
65011711
Откуда взялась эта цифра ? Цифра взялась из расчета
Основная суть:
Буквы дисков представляют собой обратную последовательность, переведенную в двоичный код %)
Что надо запретить, там 1. Что оставить, там 0. Берем двоичный ряд, и переводим его любым доступным нам способом в десятичную систему. На выходе получаем нужное нам число.
После проделанных манипуляций с редактированием файлов. Открываем GPO. И смотрим появилось ли необходимое меню.
Монтирование диска V
Для монтирования диска добавлен LOGON скрипт для пользователя
Редактируем файл скрипта:
Две последние строки cacls, представляют из себя костыль блокирования записи на рабочий стол пользователем и здесь не обязательны. Оставил чтобы потом не искать.
Читайте также: