Как закрыть доступ к диску d другому пользователю windows server
Обновлено: 04.07.2024
В этой статье приводится ряд сведений об использовании объектов групповой политики для сокрытия указанных дисков.
Применяется к: Windows 10 — все выпуски
Исходный номер КБ: 231289
Сводка
С помощью объектов групповой политики в Windows существует параметр "Скрыть указанные диски в моем компьютере", который позволяет скрыть определенные диски. Однако может потребоваться скрыть только определенный диск, но сохранить доступ к другим.
Существует семь вариантов ограничения доступа к дискам по умолчанию. Вы можете добавить другие ограничения, изменяя файл System.adm для политики домена по умолчанию или любого настраиваемого объекта групповой политики (GPO). Семь выборов по умолчанию:
- Ограничение только дисков A, B, C и D
- Ограничение только дисков A, B и C
- Ограничение только дисков A и B
- Ограничение всех дисков
- Ограничение только диска C
- Ограничение только диска D
- Не ограничивая диски
Корпорация Майкрософт не рекомендует изменять файл System.adm, а вместо этого создавать новый файл .adm и импортировать этот .adm в GPO. Причина в том, что при применении изменений к файлу system.adm эти изменения могут перезаписываться, если Корпорация Майкрософт выпустит новую версию файла system.adm в Пакет обновления.
Дополнительная информация
Расположение файла System.adm по умолчанию для политики домена по умолчанию:
%SystemRoot% \ Sysvol \ Sysvol \ <YourDomainName> \ Policies \ < 31B2F340-016D-11D2-945F-00C04FB984F9>\ Adm \ System.adm
Содержимое этих папок реплицируется в домене службой репликации файлов (FRS).
Папка Adm и ее содержимое не заполняются до тех пор, пока по умолчанию политика домена не будет загружена впервые.
Внесение изменений в эту политику для одного из семи значений по умолчанию:
Эти параметры удаляют значки, представляющие выбранные жесткие диски из my Computer, Windows Explorer и My Network Places. Кроме того, эти диски не отображаются в диалоговом окне Open любых программ.
Эта политика предназначена для защиты определенных дисков, в том числе дискетного диска, от неправильного использования. Его также можно использовать для того, чтобы направлять пользователей на сохранение работы на определенных дисках.
Чтобы использовать эту политику, выберите диск или комбинацию дисков в выпадаемом поле. Чтобы отобразить все диски (скрыть их нет), отключите эту политику или нажмите кнопку Не ограничивать диски.
Эта политика не мешает пользователям использовать другие программы для получения доступа к локальным и сетевым дискам или не позволяет им просматривать и изменять характеристики дисков с помощью оснастки Disk Management.
Значения по умолчанию не являются единственными значениями, которые можно использовать. При редактировании файла System.adm можно добавить собственные настраиваемые значения. Это часть system.adm, которая должна быть изменена:
В разделе [строки] представлены замены фактических значений в выпадаемом поле.
Эта политика отображает только указанные диски на клиентский компьютер. Ключ реестра, на который влияет эта политика, использует десятичный номер, соответствующий 26-битной двоичной строке, при этом каждый бит представляет букву диска:
Эта конфигурация соответствует 67108863 десятичной и скрывает все диски. Если вы хотите скрыть диск C, сделайте третий-самый низкий бит 1, а затем преобразуем двоичную строку в десятичную.
Нет необходимости создавать параметр, чтобы показать все диски, так как очистка окна удаляет запись "NoDrives" полностью, и все диски автоматически показаны.
Если вы хотите настроить эту политику, чтобы показать другую комбинацию дисков, создайте соответствующую двоичную строку, преобразуйте десятичную и добавьте новую запись в раздел ITEMLIST с соответствующей записью [строки]. Например, чтобы скрыть диски L, M, N и O, создайте следующую строку
и преобразовать в десятичной. Эта двоичная строка преобразуется в 30720 в десятичном. Добавьте эту строку в раздел [строки] в файле System.adm:
LMNO_Only="Ограничение только дисков L, M, N и O"
Добавьте эту запись в разделе ITEMLIST выше и сохраните файл System.adm.
ИМЯ !! LMNO_Only ЗНАЧЕНИЕ NUMERIC 30720
Это создает восьмую запись в выпадаемом поле, чтобы скрыть диски L, M, N и O только. Используйте этот метод, чтобы включить больше значений в поле drop-down. Измененный раздел файла System.adm выглядит следующим образом:
В этом разделе [строки] представлены замены фактических значений в выпадаемом поле.
Parallels Parallels Remote Application Server (RAS) представляет из себя RDP с человеческим лицом, но некоторые его фишки должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете). Под катом рекомендации Матвея Коровина из команды техподдержки Parallels о настройках Windows Server при использовании RAS.
Ниже будут представлены групповые политики, которые смогут сделать ваш Parallels RAS (или просто сервер терминалов) более удобным и безопасным. Для более целевого использования приведенных ниже конфигураций, рекомендуем создать отдельную группу пользователей Parallels RAS и применять групповые политики именно к ней.
Часть первая. «Запрещательная»
Прячем элементы эксплорера (Диски, кнопка «Пуск» и тд)
По умолчанию при подключении к терминальному серверу \ виртуальной машине пользователь, добавленный в группу «Пользователи удаленного рабочего стола» увидит полностью функциональный рабочий стол.
Локальные диски будут ему видны и часто доступны. Согласитесь, это неплохая дыра в безопасности, если пользователь даже со своими лимитированными правами будет иметь возможность доступа к локальным дискам и файлам на удаленном сервере.
Даже если установить правильное разграничение доступа и тем самым обезопасить себя пугливый юзверь все равно будет путать диски терминального сервера со своими локальными дисками и в ужасе звонить в тех поддержку. Наилучшим решением такой ситуации будет спрятать локальные диски терминального сервера от пытливого взора энд юзера.
Расположение групповой политики:
User Configuration\Policies\Administrative Templates\Windows Components\Windows Explorer
И измените значение следующих опций:
• Hide these specified drives in My Computer — изменив значение этой опции, вы можете убрать упоминание конкретных дисков из меню компьютера и всех связанных меню, однако это не запрещает доступ к дискам. Если пользователь задаст абсолютный адрес диска, то он откроется.
• Prevent access to drives from My Computer — запретить доступ к конкретным дискам. При включении этой опции доступ к дискам будет ограничен, но диски будут отображены в file explorer.
Что еще можно спрятать от пользователя, используя эту групповую политику:
• Remove Run menu from Start Menu – при активации убирает кнопку «Пуск» из меню
• Remove Search button from Windows Explorer – здесь все просто: поиск в эксплорере будет недоступен
• Disable Windows Explorer's default context menu – это функция лишает пользователя возможности вызывать менюшку правым кликом мыши (можно купить старых мышек от мака и сэкономить на одной кнопке)
После написания этой части проснулась просто-таки депутатская страсть к запретам. На этом фоне стоит рассказать вам, какими способами можно запретить пользователю все.
Запрещаем использование командной строки (даже если пользователь сможет открыть CMD ему останется просто любоваться черным окошком с уведомлением о запрете доступа)
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Prevent access to the command promt.
Меняем значение на enabled.
Опция Disable the command prompt script processing also запрещает пользователю выполнять скрипты.
Есть один нюанс: если у вас настроены логон скрипты при включении этой опции, они выполняться не будут.
Убираем кнопки выключения \ перезагрузки \ сна (будет обидно, если удаленный пользователь случайно выключит терминальный сервер)
Расположение групповой политики:
User Configuration → Administrative Templates → Start Menu and Taskbar → Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate Commands
При включении этой опции пользователь сможет только заблокировать сессию или разлогиниться из нее.
Запрещаем Автозапуск «Управление сервером» при логине
Расположение групповой политики:
Computer Configuration → Policies → Administrative Templates → System → Server Manager → Do not display Server Manager automatically at logon
Меняем значение на enabled.
Запрещаем запуск PowerShell
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Don’t run specified Windows applications
Включаем эту политику и добавляем туда следующие приложения
powershell.exe and powershell_ise.exe
Этой политикой можно запретить запуск любых установленных (а также не установленных) приложений.
Прячем элементы панели управления
Расположение групповой политики:
User Configuration → Administrative Templates → Control Panel → Show only specified Control Panel items.
При включении этой политики все элементы панели управления будут скрыты от пользователя. Если пользователю должны быть доступны какие-либо элементы, добавьте их в исключения.
Запрещаем запуск редактора реестра
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Prevent access to registry editing tools
Меняем значение на enabled.
Запрещаем все
Логичным завершением этой части статьи будет рассказ о том, как запретить пользователям все. Есть мнение, что пользователь должен подключиться к удаленному рабочему столу, посмотреть на него и, убедившись в торжестве технического прогресса, отключиться.
Для достижения этой цели нам нужно создать групповую политику добавления дополнительных ключей в реестре Windows:
Расположение групповой политики:
User Configuration\Preferences\ Windows Settings\Registry
Кликаем правой кнопкой мыши по Registry затем New затем Registry item
Добавляем новый REG_DWORD параметр RestrictRun со значением 1 в ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Теперь пользователю запрещено запускать любые приложения кроме системных.
Как запретить ему пользоваться CMD и Power Shell описано выше.
Если вы все-таки решите (исключительно по доброте душевной) разрешить пользователям запуск каких-либо приложений, их нужно будет добавить в «разрешительный список» путем создания в ключе
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun
Значением типа string, используя порядковый номер разрешаемой программы в качестве имени (нумерация как это не странно начинается с 1), и именем разрешаемой программы в качестве значения.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
String Name:«1»=«notepad.exe»
String Name «2»=«calc.exe»
При такой конфигурации пользователь сможет запустить только блокнот и калькулятор.
На этом хочется закончить «Запрещательную» часть. Конечно, можно упомянуть еще некоторое количество «Низя», но все это настраивается через Parallels Client и встроенные политики Parallels RAS.
Часть вторая. «Время и прочая романтика»
Установка временных лимитов для удаленных сессий
Бывает, что пользователь запускает приложение в фоне и может даже не пользоваться им. Если для обычных приложений это не страшно, то запущенное в фоне опубликованное приложение / рабочий стол занимает лицензию, а лицензии, как бы дико это не звучало для России, стоят денег.
Для решения этого вопроса умные люди из Microsoft придумали различные статусы терминальных сессий и временные лимиты для них.
Какие бывают статусы терминальных сессий:
Active – сессия активна и в ней что-то происходит. Пользователь двигает мышкой, нажимает на кнопки и создает имитацию бурной деятельности
IDLE – соединение есть, сессия запущена, приложение работает, но пользователь активности не проявляет
Disconnected – пользователь нажал крестик и отключился. Объяснять конечному пользователю, что за зверь логоф и чем он питается — бесполезно.
Наиболее целесообразно устанавливать временные рамки на IDLE и Disconnected сессий.
В них ничего не происходит, а лицензии занимаются.
Добиться этого мы можем опять-таки, используя групповые политики.
Расположение групповой политики:
User Configuration → Policies → Administrative Templates Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Session Time Limits
В этой ветке есть несколько опций. Давайте разберем их все:
Set time limit for active but idle Remote Desktop Services sessions
Максимальное время работы для Active сессий.
Set time limit for active Remote Desktop Services sessions
Максимальное время работы для IDLE сессий.
Set time limit for disconnected sessions
Максимальное время работы для disconnected сессий.
End session when time limits are reached
Если установить эту политику в Enabled статус, то по достижению временного лимита сессии будут завершаться, а не отключаться.
Настройка временных лимитов – важный шаг для оптимизации работы сервера и оптимизации затрат на ПО.
Установка времени логина для пользователей или скажем нет переработкам
У каждого из нас есть рабочий день, а также утро, вечер и ночь. Но Британские (или Мальтийские) ученые недавно выяснили, что от работы, оказывается, можно заболеть или даже умереть. Работа — это очень сильный и опасный наркотик, поэтому в ярой заботе о любимых пользователях мы должны ограничить им время, когда они могут логиниться на сервер. А то надумают тоже работать из дома, отпуска и по выходным. И помогут нам в этом не групповые политики. Настройка времени работы находится в свойствах пользователя. Где-то далеко в начале этой статьи я упоминал, что все манипуляции лучше производить со специально созданной группой пользователей Parallels RAS, так вот, на примере этой группы мы и разберем, как установить часы работы.
Идем в левый нижний угол нашего экрана, нажимаем кнопку пуск и печатаем dsa.msc
Откроется всеми любимая оснастка Active Directory Users and Computers.
Найдите созданную вами группу пользователей Parallels RAS кликните по ней правой кнопкой мыши и зайдите в свойства. Во вкладке Account будет опция Logon Hours в которой нужно выбрать разрешенные и запрещенные часы работы для группы.
Итог этого раздела:
1. Вы великолепны
2. Жизни пользователей спасены от переработки
Часть третья. «Интерактивная»
Используя опубликованные ресурсы, часто приходится не только запрещать все подряд на сервере, но и перенаправлять в удаленную сессию локальные ресурсы. И если с принтерами, сканерами, дисками, звуком и COM портами никаких сложностей не возникнет, Parallels RAS прекрасно их перенаправляет без дополнительных настроек со стороны Windows, то с перенаправлением USB устройств и веб камер все не так просто.
Для перенаправления данного типа оборудования нужно, чтобы звезды сошлись в правильном порядке не только на сервере, но и на клиентской машине:
На компьютере пользователя измените следующую групповую политику:
Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Connection Client → RemoteFX USB Device Redirection
Присвойте ей значение Enabled
Теперь в свойствах Parallels клиента (Connection Properties → Local Resources) вы сможете выбрать, какое именно из подключенных USB устройств должно быть перенаправлено на сервер.
Примечание: USB устройство может быть задействовано либо в опубликованном приложении, либо на локальном компьютере, но не одновременно и там, и там.
На стороне сервера необходимо установить драйверы и все необходимое ПО для работы USB устройства. К сожалению, универсального драйвера для всего подряд человечество еще не придумало.
На этом хотелось бы завершить обзор настроек Windows, которые будут важны для работы Parallels RAS.
З.Ы. Таких длинных текстов писать не доводилось давно, отсюда огромная благодарность всем тем, кто осилил эту статью.
Поверь опытному человеку: игры с правами на разделы и диски ничем хорошим не заканчиваются.
Проще в управлении дисками отцепить букву, тогда непосвященные даже не догадаются, что у тебя есть еще один диск.
Чем не понравился стандартный BitLocker? Начиная с семерки он вшит в систему. У меня одно возникает вопрос - А зачем это делать? (блокировать или удалять букву диска) Смешная блокировка. Берем флешку с убунтой, втыкаем в комп, жмем ресет, грузимся с флешки - сливаем все с диска. На права вообще наплевать. С таким же успехом, можно папке присвоить атрибут "скрытый", и не ставить галки на отображение скрытых файлов в винде. Комментарий удален. Причина: оскорбление пользователей.
ВРЕМЕННОЕ РЕШЕНИЕ ПРОБЛЕМ ДОСТУПА В NNM-CLUB
Странно, конечно, что ничего не нашлось о текущей ситуации с nnm-club.me на пикабе.
Но не смотря на мою природную лень, я всё-таки нашел решение проблемы самостоятельно и спешу поделиться с вами, дорогие пикабушники, чтобы вы не напрягали ваши пальчики и клавиатурки вбивая поисковые запросы в гуглы, яндексы и прочие уткауткаидти.
Внимание! Домен NNM-CLUB.me работать больше не будет! Сейчас работает зеркало Клуба по вышеуказанному адресу. Будут и еще зеркала, о которых расскажем дополнительно.
Как временное решение проблем, нужно добавить следующие строки в файл hosts
В ОС Windows он находится здесь:
81.17.30.22 nnm-club.me
81.17.30.22 nnm-club.ws
2001:470:1f15:f1:6e6e:6d2d:636c:7562 ipv6.nnm-club.me
Позже не забудьте удалить эти строки, т.к. IP могут измениться.
Блокнот, Открыть, Все файлы, указать путь к папке C:\windows\system32\drivers\etc\, выбрать и открыть файл "hosts", добавить в конце эти строки,
затем "Сохранить как", тип файла -> Все файлы, и сохранить в любое удобное место, например на рабочий стол, затем скопировать или вырезать в буфер обмена сохраненный файл и вставить в папку C:\windows\system32\drivers\etc\ , разрешить замену этого файла (требуются права администратора).
Надо запустить Блокнот от имени Администратора, для этого кликните по ярлыку блокнота правой кнопкой мыши и выберите пункт Запуск от имени администратора
Затем жмите Файл открыть и в поле Имя файла введите: %windir%\system32\drivers\etc\hosts нажмите Enter.
Файловый сервер установлен. Об установке и настройке файлового сервера смотрите статью «Файловый сервер на базе Windows Server 2016». В этой статье я расскажу о настройке прав доступа к сетевым папкам на файловом сервере.
На логическом диске D: файлового сервера создадим папку, например, share-local. Это будет корневая папка для всего файлового сервера.
Включаем Sharing для этой папки. Нажимаем Advansed Sharing > удаляем Everyone и добавляем Authenticated Users или Domain Users.
Advansed Sharing
Устанавливаем права для Authenticated Users.
Access Based Enumeration
Возвращаемся к нашей папке share-local. Заходим на вкладку Security, нажимаем Advansed. В появившемся окне Advansed Security нажимаем Disable inheriatance (Отключить наследование). Отключаем наследование с преобразованием унаследованных прав в явные.
Отключение наследования
Оставляем полный доступ для этой папки, ее подпапок и файлов администраторам и системе, права создателя-владельца урезаем, остальные права доступа удаляем.
права создателя-владельца изменяем шаг 1 права создателя-владельца изменяем шаг 2
Добавляем группу Domain Users c правом только чтения и только этой папки.
Права Domain Users
Создаем подпапки отделов. Вновь созданные папки будут видны только администраторам. Добавим группы, которые должны получить доступ к ним. И не забываем поставить флаг Write для групп.
Как видно, теперь пользователь сети нужного отдела видит папку своего отдела и может в ней создавать папки и файлы.
доступ к папке своего отдела
Все папки на файловом сервере По прежнему только папка отдела
Помним, что один из отделов уже имеет общий ресурс для отдела. И нужно этому отделу подключить еще одну сетевую папку. Для этих целей мы создали наш Namespace. O Namespace смотрите статью
«Файловый сервер на базе Windows Server 2016».
Подключаем сетевой ресурс через \\unitec.local\share-files
Видим 2 папки нашего отдела. Одна из них корневая со старого сетевого ресурса (dc share), а вторая подпапка отдела (new share) с нового файлового сервера. У пользователя все работает, есть возможность создавать файлы и папки.
Сетевые папки первого отдела
Ошибка при попытке входа
Хочу добавить, что у меня не стояла задача создания структуры папок в корневой папке отдела и назначения прав на папки структуры.
Читайте также: