Отключение маппинга дисков в терминале 2003

[chipby]

Задача - оставить возможность маппинга дисков только для определенных пользователей, остальным отключить.
Вопрос - возможно ли? В свойствах терминального сервера W2003 можно отключить эту опцию для всех, а так не хотелось бы.

[PLAstic]

На сами диски ставим в пермишены только тех пользователей, которым можно. Остальные в результате и не подключатся.

[chipby]

возможно, плохо задал вопрос- речь идет о подключении в терминальной сессии дисков локального компьютера, с которого инициируется вход на терминальный сервер. т.е. пользователь в сессии видит диски на терминальном сервере и на своем локальном компьютере
Как можно запретить указанное подключение локальных дисков для избранных пользователей?

[PLAstic]

Вытащить их в отдельный OU и добавить им в логон-скрипт net use * /delete.
Или просто попробовать на одном из пользователей. Вполне вероятно и не прокатит.
Кстати, можно с помощью GP запретить им обращаться к этим буквам дисков. Если не ошибаюсь, там такое есть.
Ещё можно глянуть, что есть в GP по терминалу. Вполне вероятно, там включается и выключается маппинг дисков.

[chipby]

Цитата: Сообщение от PLAstic Вытащить их в отдельный OU и добавить им в логон-скрипт net use * /delete. Или просто попробовать на одном из пользователей. Вполне вероятно и не прокатит.

а чуть подробнее ?

Цитата: Сообщение от PLAstic Кстати, можно с помощью GP запретить им обращаться к этим буквам дисков. Если не ошибаюсь, там такое есть. Ещё можно глянуть, что есть в GP по терминалу. Вполне вероятно, там включается и выключается маппинг дисков.

в GP есть отключение маппинга, но ... для всех, а задача стоит кое-кому оставить. А вот с буквами - т.е. разрешить доступ только к дискам с буквами терминального сервера, все остальные диски - запретить? Интересная модель, буду пробовать. Нужно только для всех, кто попадает под запрет делать новую группу

[dmitry_a]

эта задача решается на уровне групповых политик и OU
тебе надо сделать 2 OU и намапить на них групповую политику в одной из который отключена возможность подключать локальный диски в другой ничего можно не трогать.
и обязательно поместить сервер терминалов (если это не контроллер домена) в ou где отключены диски, т.к. эта политика действует на уровне компьютеров.

[chipby]

стисняюсь сспросить - а OU - это что?

[dmitry_a]

контейнер OU - Organization Unit

[chipby]

Цитата: Сообщение от dmitry_a контейнер OU - Organization Unit

для использования Organization Unit, кажется нужно вводить домен? Нет?

[dmitry_a]

да, надо чтобы термнальный сервер был в домене, иначе никак не получится ограничить возможности пользователей, подключать локальные диски при соединении с терминальным сервером.
будет как у тебя сейчас, либо всем, либо никому.

по крайней мере я решения на данный вопрос без использования AD незнаю.

[fylhtqrf]

Я похожую проблему решал северным морским путем - запустил клиентов под тонким клиентом thinstation - в котором конкретным компам (людям) - убрал флэшки и дискеты - так начальство захотело - заоодно решил и проблему лицензионности - клиентских компов

[chipby]

Цитата: Сообщение от fylhtqrf Я похожую проблему решал северным морским путем - запустил клиентов под тонким клиентом thinstation - в котором конкретным компам (людям) - убрал флэшки и дискеты - так начальство захотело - заоодно решил и проблему лицензионности - клиентских компов

идея хороша, но спасибо - не подходит

[bmk]

А почему в свойствах ярлыка для подключения к терминалу нельзя убрать маппинг дисков??

[chipby]

Цитата: Сообщение от bmk А почему в свойствах ярлыка для подключения к терминалу нельзя убрать маппинг дисков??

расскажи как запретить юзеру восстановить там же маппинг обратно

[bmk]

Цитата: Сообщение от chipby расскажи как запретить юзеру восстановить там же маппинг обратно

На ярлык делается доступ только для чтения, из реестра уберается ветка [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\RDP.File\shell \Edit] и попробуйте изменить после этого
Правда этот способ не застрахован от того что пользователь не может создать новый ярлык, но при желании и это можно сделать