Сервер терминалов и груповые политики

[Niк]

На сервере 2003 в Ad понаписывал групповых политик, чтобы пользователи входя через сервер терминалов на сервер не видели дисков, и.т.п., чтобы не шкодили. Все красиво - под пользователем захожу - ни тебе дисков, ни панели задач и все такое. Песня. Одина папка моих документов в проводнике. Каково было мое разочарование, когда я залогинился на локальном компе под пользователем и увидел ту же картину, но уже не в терминале на сервере, а здесь на месте - не видно своих собственных дисков! Млин, подскажите, как сделать так, чтобы при входе на сервер терминалов политики срабатывали, а при локальном - нет. Очень нужно. Спасибо.

 

[Korovka]

Добавь к своей полиси WMI filter с такой query
SELECT * FROM Win32_ComputerSystem WHERE Name = "Your Terminal server name"

на локальных должна быть XP

 

[Niк]

мдааа, если не сложно, то с этого места поподробнее, пож., ибо я не шибко специалист но пытаюсь разобраться.

[ADDED=Niк]1123651016[/ADDED]
И еще. А почему ХР. 2000 не обрабатывает такие запросы или чего?

[ADDED=Niк]1123652378[/ADDED]
А может существуют способы без этих политик просто припрятать логические диски сервера при входе через терминал? Чтобы быть ближе к делу - наверное, заменю я пользователям оболочку на загрузку 1С при входе в терминал (т.к. практически только для этого сервер и работает). Есть только одно но - в окошках Открыть\Сохранить как - диски видны и можно чего-то удалить.
Так короче, сформулирую задачу заново:
- есть сервер терминалов и было бы здорово оставить действие групповых политик - ограничения по максимуму (сервер все-таки!) - пустой рабочий стол и только папка Мои док. в проводнике.
- действие груповых политик можно было бы менять на локальные компы (неплохая возможность, например, через гр.политику запретить пользователям открывать апплет Управление компьютером, и т.д.)
Другими словами, как разграничить действие политик на локальные компы и на сервер терминалов?

 

[Korovka]

Фильтры добавляются в том окошке, где список полисей для OU, кнопка Properties.
2000 не обрабатывает WMI фильтры, придется заводить отдельных пользователей для TS или руками запихивать полиси пользователям в реестры, что быстро надоест.

Прячутся диски полисей "Hide this specified drives in My Computer" (user cf/adm templ/win comp/win explorer), правда, только в проводнике - фар и т.п. все видят, так что разрешения на NTFS все равно придется поставить.
На сервере я бы еще включил software restriction policy - там можно настроить, что пользователь сможет запустить только 1С, и даже блокнот или проводник не запустится.
Еще можно запретить правую кнопку мыши в проводнике/станд. диалоге открытия файлов - через NoViewContextMenu, готовой policy я не нашел, можно свою сделать.

Если хочешь делать шеллом 1С, реши сначала, что юзер будет делать, если закроет 1С. У него же чистый голубой экран останется.

 

[Mitrofan]

в 2000 не фильтры не обрабатываются, а не реализован механизм доступа к WMI из командной строки. Последнее есть в XP, 2003. Ниже приведённый стандартный пример, например, будет успешно работать и в 2000.

On Error Resume Next
Dim strComputer
Dim objWMIService
Dim propValue
Dim SWBemlocator
Dim UserName
Dim Password
Dim colItems

strComputer = "."
UserName = ""
Passord = ""
Set SWBemlocator = CreateObject("WbemScripting.SWbemLocator")
Set objWMIService = SWBemlocator.ConnectServer(strComputer,"\root\CIMV2",UserName,Password)
Set colItems = objWMIService.ExecQuery("Select * from Win32_ComputerSystem",,48)
For Each objItem in colItems
WScript.Echo "AdminPasswordStatus: " & objItem.AdminPasswordStatus
WScript.Echo "AutomaticResetBootOption: " & objItem.AutomaticResetBootOption
WScript.Echo "AutomaticResetCapability: " & objItem.AutomaticResetCapability
WScript.Echo "BootOptionOnLimit: " & objItem.BootOptionOnLimit
WScript.Echo "Domain: " & objItem.Domain
WScript.Echo "DomainRole: " & objItem.DomainRole
for each propValue in objItem.InitialLoadInfo
WScript.Echo "InitialLoadInfo: " & propValue
next
WScript.Echo "InstallDate: " & objItem.InstallDate
WScript.Echo "KeyboardPasswordStatus: " & objItem.KeyboardPasswordStatus
WScript.Echo "LastLoadInfo: " & objItem.LastLoadInfo
WScript.Echo "Manufacturer: " & objItem.Manufacturer
WScript.Echo "Model: " & objItem.Model
WScript.Echo "Name: " & objItem.Name
WScript.Echo "NameFormat: " & objItem.NameFormat
WScript.Echo "NetworkServerModeEnabled: " & objItem.NetworkServerModeEnabled
for each propValue in objItem.OEMLogoBitmap
WScript.Echo "OEMLogoBitmap: " & propValue
next
for each propValue in objItem.OEMStringArray
WScript.Echo "OEMStringArray: " & propValue
next
WScript.Echo "PartOfDomain: " & objItem.PartOfDomain
WScript.Echo "PauseAfterReset: " & objItem.PauseAfterReset
for each propValue in objItem.PowerManagementCapabilities
WScript.Echo "PowerManagementCapabilities: " & propValue
next
WScript.Echo "TotalPhysicalMemory: " & objItem.TotalPhysicalMemory
WScript.Echo "UserName: " & objItem.UserName
WScript.Echo "WakeUpType: " & objItem.WakeUpType
WScript.Echo "Workgroup: " & objItem.Workgroup
Next

Как-то обидно про 2000 сказанули. И ни к чему заводить отдельных пользователей, если этого не очень хочется.

 

[Niк]

Так, пока что спасибо. Нужно с этой горой инфы разобраться.
Кстати, когда 1с шелом и его закрыть, то терминал автоматом закрывается. А вот если 1с свернуть в терминале - тогда да, голубой экран. Но эти мникто не страдает - сворачивают все время весь терминал, к тому же в 2003 это удобнее стало, чем в 2000.

 

[Niк]

Еще маленький вопрос почти в тему:
Что это значит (на компе пользователя):

Database connection faied.
Error=Error=80040E4D
Error Message=Idispatch error #3149
Description=[Microsoft][ODBC SQL Server Driver][SQL server][Login failed for user User1]

 

[Korovka]

Mitrofan
>в 2000 не фильтры не обрабатываются, а не реализован механизм доступа к WMI из >командной строки. Последнее есть в XP, 2003.
Почитай Для просмотра ссылки Войди или Зарегистрируйся

>Ниже приведённый стандартный пример, например, будет успешно работать и в 2000.
сгенерировано Скриптоматиком, и будет работать даже в NT.

> Как-то обидно про 2000 сказанули. И ни к чему заводить отдельных пользователей, если
>этого не очень хочется.
И мне обидно.. Но вот выйдет Виста, и вскоре будут обижены пользователи XP.. ничего не поделаешь, если сидишь на майкрософте.
Если нехочется, не заводи, чего себя насиловать?

> Login failed for user User1
может, пароль неправильный? ODBC драйвер MSSQL такой же, как и у остальных? загляни еще в логи самого MSSQL..

 

[Niк]

Друзья, а вот снова почти не в тему, но про Ad (да простят модераторы - чего-то не нашел поиском). Итак, как ограничить кол-во пользователей, могущих входить на како-то определенный компьютер?

 

[Korovka]

Не понял - в смысле одновременно N пользователей на Termanal Server? Тогда надо самому писать скрипты.
Если на локальные - спусти им policy Allow Logon Locally.

 

[Niк]

Ну, типа, есть локальный Comp1. По умолчанию в него мегут залогиниться все члены домена. А мне нужно только чтобы user1, user5 и user18 и все.
И еще вопрос. Ставлю сетевой принтер hp2300. При установке просит SNMP Set Community name. А где его посмотреть?

 

[Korovka]

А мне нужно только чтобы user1, user5 и user18 и все

Group Pol того OU, где компы/comp conf/win sett/secur/loc pol/user rights/Allow Logon Locally
выкидываешь оттуда Everyone, дальше - или записываешь туда пользователей, или, что лучше, заводишь группу, зачисляешь туда пользователей, и прописываешь группу.

Community name

Это он так просит пароль придумать. Пиши что хочешь.

Насчет policy для TS - есть такой вариант: в GP для сервера ставишь Loopback processing mode: replace, после чего для всех залогинившихся на него юзеров будет применяться GP из OU сервера (вместо OU пользователя). Применяться она будет и для администраторов, что ненужно - поэтому в policy properties/security ставишь Apply Group Policy [x] Deny для Domain Admin - теперь она будет только для простых юзеров.
Работает независимо от ОС на локальных компах.

неплохая статья How to lock down TS:
Для просмотра ссылки Войди или Зарегистрируйся

 

[Niк]

1 - вроде въехал, спасибо
2 - SNMP Set name - (ох, нашел таки!) - нужно сперва через web интерфейс зайти в сам принтер, там указать этот самый Name, а уже потом его указывать при установке, бррр..
3 - этот replace я уже поставил. Почему и затеял всю эту песню - мне приглянулась возможность прямо с сервера закрывать пользователям дырки в локальных компах. Только еще потренироваться малехо нужно, ибо как-то половинчато срабатывает - что-то прикрывает, а что-то нет. Разбираюсь. Но диски C: у себя на компе уже никто не видит.
4 - так вот по этой статье-то и экспериментирую.
СПАСИБО!

 

[Korovka]

1 - надо еще туда локальных администраторов добавить, просто написать имя группы, без кнопки browse

>диски C: у себя на компе уже никто не видит
попробуй в 1С в окошке открыть файл в строке имя файла набрать "c:\"

 

[Niк]

1c выдает перл - с:\ - плохой путь
Слушай, ну ты мне здорово тут помогаешь, спасибо тебе.
Может еще расскажешь что такое перемещаемые профили, в чем их фишка, как их создавать и стоит ли эти вообще заниматься?