Как скрыть диски на терминальном сервере #769674

Здравствуйте всем! Подскажите кто знает как скрыть диск Д от пользователей на windows server 8 на нем развернута служба терминалов (удаленного рабочего стола) там крутятся 1с (ки) наших клиентов (их очень много) необходимо что бы пользователи (клиенты) видели только свои папки а некоторые многие из папок как на пример клиент "А" имеет доступ к папке на диске Д Папка D:1cbaseКлиент1 например бухгалтерия Должна видеть как D:1cbaseКлиент1 D:1cbaseКлиент2 D:1cbaseКлиент3 D:1cbaseКлиент4 D:1cbaseКлиент5 при всем при этом даже пользователи из группы Бухгалтерия не должны видеть папок которые от них скрыли я с ночало сделал так закрыл доступ к диск Д для пользователей группы (Пользователи удаленного рабочего стола) а потом дал оступ каждому из пользователей к конкретным папкам оно то вроде бы получилось ни один пользователь не может войти на диск Д при этом он может войти в свои папки (ярлыки на которые я им повесил на рабочий стол) НО есть одно но из за того что я закрыл доступ к диск Д теперь пользователи не могут войти в 1с или удалить или добавить папку (файлы) помогите реализовать спасибо!

забыл пометить что домена нету! обычный сервер со службой удал раб столами и все

"с начало" ТС, убейся

еще и "нОчало"

>>НО есть одно но из за того что я закрыл доступ к диск Д теперь пользователи не могут войти в 1с или удалить или добавить папку (файлы) Дык дай им доступ на чтение к папке где лежат бинарники 1С, дай доступ на запись к той папке, в которой они должны добавлять папку и файлы, ну и если 1С файловая, то на запись на папку с базой.

давал я эти доступы 1с запускается а папки создавать или удалять не могут система кричит что доступ к диску закрыт (

сейчас не имею доступа к серверу вечером скину скрин того что я делал

Сделай папки D:клиент1 D:клиент2 настрой права доступа. Названия папок все видеть будут, но зайти не смогут. Папки можно сделать обезличено. 01, 02, 03 и т.д. А уже внутри папок клиентов создавай каталоги с базами.

+7 В я бы в данной ситуации поставил второй сервер и скуль. Тогда бы вообще вопроса с папками не было. И с точки зрения безопасности лучше.

мне необходимо именно что бы заходить в диск не могли я понимаю что можно по переименовывать все папки но при этом представьте картину Фирма которая предоставляет данную услугу (сервер терминалов) помимо этого еще занимается и ведением бухгалтерского учета то есть выходит что если я так сделаю то бухгалтера меня попросту порвут мне необходимо сделать так что бы либо войти на диск не было возможности или например вошли но списка (папок,файлов) (кроме своей) не было видно или же вовсе диск спрятать (убрать видимость) НО при всем при этом сохранить доступ к содержимому к которому у вас имеются все права всего бы нечего если бы получилось сделать так убрал для определенной группы (например пользователи удал раб стола) флажок из безопасности (Чтение содержимого) все остальное оставил теперь на диск войти не возможно а вот в папку для которой я конкретному пользователю даю все права войти через ярлык на рабочем столе получается 1с 7 вроде бы запускается (но будет ли она сохранять данные и т д пока не известно не тестил) и вот она проблема при таких настройках система не дает пользователю сохранять , удалять , создавать папки и файлы)

или можно ли сделать так спрятать диск вообще расшарить папки - дать им права и видимость только для конкретных пользователей и по подключать их как сетевые диски? но опять же как вырубить видимость всего диска при этом сохраняя права на запись удаление и т д файлов папок) еще варинт был но он не подходит разбить диск на кучу разделов каждый раздел это пользователь (клиент) каждому дать разрешение на пользование только своим разделом и все но и тут неудобства косающиеся наших бухгалтеров((((

или было бы вообще классно для каждого пользователя создать виртуальные диски то есть на диске д папка клиент 1 должна скажем превращаться в виртуальный диск при всем при этом доступ к диску д по прежнему ограничен а вот на вирт диск доступ полный мдааа бред похоже )))

к стати вот скрины настроек которые затем не дают создать например папку или удалить в папку в папке клиента на диске Д это права на диск Д   а это на папку в диске д для определенного пользователя

Зайди в свойства диска, вкладка безопасность, и убери права на чтение у нужной группы пользователей. Все.

У меня все это сделано, штатными средствами из вкладки "безопасность" Просто расставь галочки в нужном порядке.

Все файловые базы хранятся в одной папке. Я вижу все базы в этой папке. Два пользователя тоже видят все базы Остальные видят только те базы, с которыми им разрешено работать.

Если кричит что закрыт, значит не дал права, все просто.

Напиши каким пользователям(имя и группа) надо дать права на какие папки, и я скажу как расставить галки, если уж это не поможет, могу зайти по терминалу и сделать сам, но это будет стоить денег, ибо работа.

смотри d:1c-baseклиент1 d:1c-baseклиент1обмен d:1c-baseклиент2 d:1c-baseклиент2обмен d:1c-baseклиент3 d:1c-baseклиент3обмен итак есть скажем 4 пользователя бухгалтер, клиент1 клиент2 клиент3 так вот когда подрубается пользователь "Бухгалтер" он должен видеть все папки и иметь ко всем им доступ в папке d:1c-base но в корень диска D: он не должен выходить то есть крутиться разрешено только в папке d:1c-base теперь входит пользователь "Клиент1" вот он может крутиться только в папке d:1c-baseклиент1 d:1c-baseклиент1обмен но назад в папку d:1c-base выйти не имеет право или на корень диска та-же ситуации и с другими пользователями

Условие что Бухгалтер не должен выходить в корень диска невыполнимо. Нет доступа к диску, нет доступа и к папкам на диске. Поэтому проще разрешить выходить в корень диска, а вот читать и писать разрешить только нужные папки. Для Бухгалтер выставляем полные права на чтение и запись в D:1c-base и убираем все права, в том числе и на чтение, со всех папок и файлов которые находятся на D.

Т.е бухгалтер будет заходить на диск D и видеть только одну папку d:1c-base Все остальные он видеть не будет, и доступа иметь не будет.

Для клиента - Запрет на чтение и запись всех папок в корне кроме d:1c-base На папку даем ему права  d:1c-base чтение и запись. Заходим в папку d:1c-base и запрещаем ему чтение и запись  на все папки находящиеся там, кроме папки d:1c-baseклиент1

блин, пипец. голытьба занимается обслуживанием клиентов...

да ладно, не у всех домен есть.

да фиг с ним, с доменом. Подход - чисто голытьба.

Т.е. сначало надо MBA закончить, потом MCSD Security получить о вот только потом ... так шоле ?

В чем конкретно?

Ну и оставь права на траверс папок для корня, а чтение для корня отмени. Тогда выйти в корень диска не получится, но доступ в разрешённые папки будет.

Друзья я понимаю что можно запретить пользователям входить в папку я спрашивал о том как скрыть те папки которые необходимо что бы пользователь вошел на дик но видно на нем было только пара папок которые для него открыты остальные папки скрыть от этого пользователя а для другого открыть видимость тоесть бухгалтер пусть видет папку 1c-base и в се подпапки а пользователь "Клиент1" видит только папку Клиент1 и обмен, в папке 1c-base как  их по-скрывать?

понимаете у них все папки клиентов названы названиями фирм например ООО моло и ооо Кефир клиент ООО молоко не должен видеть что у нас обслуживается еще и клиент ооо кефир соотвественно и клиент ооо кефир не должен видеть что у нас обслуживается ООО молоко переименовывать не предлогайте клиент не хочеть переименовывать задание было скрыть то что нельзявидеть конкретному пользователю при этом не использую я AD

то есть так для корня (D:) для папки пользователя

ил что еще оставить для D:?

Для корня то создание и удаление убери.

Ну и чтение атрибутов и разрешений можно оставить.

Иначе зайти в корень то нельзя будет, а вот mkdir d:папка - очень даже можно. Ну или удалить тоже можно.

контора которая обслуживает МНОГО клиентов - не может разориться на вменяемого админа хотя бы? - не верю! посему - голытьба и жлобы.

Именно скрыть "чужие" папки в корне никак не получится, если "своя" на том же уровне. Просто можно запретить доступ.

а для какой группы это делать или для конкретного пользователя все пользователи входят к группу только "Пользователи удаленных рабочих столов" а права что выше описанные устонавливать только для конкретных пользователей или доступ к корню для группы а разрешения для конкретных пользователей?

Ну пользователи РДП тоже входят в какую-то группу. Создай группы по фирмам, заводи туда пользователей. Группа пользователей РДП только для доступа к РДП собственно. Если не менялось ничего. Разрешения для конкретных пользователей, а не групп - очень неудачная идея.

то есть нужно перенести все базы из папки 1c-base в корень для корня запретить а для папки с базой и папки для скажем харанения каких либо данных установить тоже права после чего пользователи ходить и смотреть на список папок в корне диск D: не смогут а вот зайти через ярлык на рабочем столе смогут в свою папку так?

Да.

ок пробую! отпишусь по результатам спасибо за ранее

+ Короче, если есть права на чтение папки, пользователь видит её содержимое. Если только на траверс - может иметь доступ к нижележащим папкам и файлам, но содержимое прочесть не может.

Опыт показывает, что по результатм советов/итогам отписывается совершенно незначительная часть вопрошающих... посмотрим...

это вы к чему уважаемый?

+ абы вставить свое слово?

переходите на терминал линя

к тому, что  - посмотрим... а то ж!

Я ж тебе вроде объяснил. Что конкретно не понятно.

С какой целью? Типа траверс папок сильно сложнее запомнить, чем 711? :)

с линем кстати не сильно проще, если только не  ссылками делать доступ к папкам acl в линухе сложнее настраивать чем в винде мышкой тыкать

Для пользователя "Клиент1" на D- диск дал следующие права в общем убрал флаг только с (Содержание папки/чтение данных) и для папки "Клиент1" та что в корне диска D лежит дал полные права теперь 1с 7.х запускается файлы из под нее сохраняются но удалить или создать или скопировать что либо в папку не получается кричит нет доступа к D:. отказано в доступе.

Ну так создай группы нужные. Нафиг тут твоя группа удаленных рабочих столов?

Если клиент не должен видеть папку, значит в свойствах папки должен стоять запрет на чтение для этого клиента. И он ее не увидит.

Так ты убрал для "только для этой папки" или права наследуются? Почитай MSDN. Я, честно, своими словами не перескажу :)

Он её увидит. Он не сможет прочесть её содержимое. Но увидит. Потому что, если нужно чтобы не было видно списка папок, то как раз на вышестоящую нужно убирать разрешение на чтение.

да ты прав забыл поставить только для этой папки сейчас пробую (данных много долго ждать приходится)

право чтение на папку организации распостранить на группу организации

Создай шары, подключи как сетевые диски (ну не больше же у вас 22-х фирм?), чтение корня запрети. Всё.

лине чтение - это видимость папки, а вот её содержимое - право выполнить

что интересно из проводника не дает создовать а вот из тотола дает

А в винде то почему также не сделать?

больше 1000 ))))

+ установил только для этой папки но не дает из проводника создавать в папки пользователя ругается ((((

у всех файловая ? маньяки

Он ее не увидит!

не мог бы подрубиться ко мне через TeamViewer? и тыкнуть носом что не так сделал то?

Потому что разрешения на дочерние папки не изменились, ты ведь сначала для "этой папки, её подпапок и файлов" убрал

Ну если бы была скулевая были бы маньяки, а файловая это нормально.

Мог бы, в принципе.

мой скайп apdate3 постучись пож

Если родительская папка доступна на чтение, а у дочерней разрешений на чтение нет, то имя дочерней можно прочесть. Потому что родительскую читать можно.

У меня у одного клиента так же куча файловых баз, все в одной папке. На чтение папки доступ есть у всех. Админ, руководитель и два специалиста видят весь список. Остальные пользователи видят только разрешенные им папки. Убираешь право на чтение конкретной папки и они ее просто не видят. А остальные прекрасно видят.

Случаем не "чтение и выполнение" убираешь?

странно не думаю что она пропадет покажи скрин!

Я просто выкидываю все лишние группы юзеров из списка имеющих прав. Т.е папка BASE имеет кучу групп имеющих права. А на base/организация права имеют только три группы - "администраторы", "бэкаперы", и "начальство". Т.е группы "пользователи" и "все" там просто не фигурируют.

Скрин чего? Папки которой не видно в списке?

и что типа пользователь который входит в группу пользователи не увидит в папке BASE папку организация?

бред!!! увидит войти не сможет хотя как наследовано может даже и войти! :-)

Папка, грубо говоря - это файл. Который содержит список "хранящихся в нём объектов" файловой системы. И запрет чтения никак не может скрыть папку из вышестоящей папки.

Наследование отключено.

Только что сделал так, Windows 10 - нет, как и ожидалось, папка не исчезла. Ибо запись о ней в вышестоящей :)

как зовется линуксовый терминал, если не секрет? Очень хочется пощупать))

хоть убунту стать, хотя лучше легковесную лубунту

да эт понятно, а программа, которая высовывает порт и показывает рабочий стол как называется?

Приложения отдельные умеет публиковать?

только 1 пользователь((

монтируй нужную папку как диск через профиль рдп, и пофиг где она лежит

в смысле ?:

в смысле freenx

в смысле, больше похоже на vnc, чем на терминальный сервер. А nx так и не смог поднять. Не помню точно почему. С авторизацией по ssh печалька была.

+ получилось сделать! права на диск D: не трогаем создаем папку 1c-base и папку "данные пользователей" в папку 1c-base создаем папки с БД 1с (клиентов) в папке "данные пользователей" создаем папки для пользователей где они будут хранить своих файл (например документы) далее: для каждого пользователя в настройке прав для папки 1c-base убираем галки Содержимое папки/чтение данных и смена разрешений и смена владельца устанавливаем (применяется к ) Для этой папки для папок с БД устанавливаем конкретным пользователям все права такие же действия произвести и с папкой данные пользователей и ее подпапками теперь когда пользователь войдет в систему он сможет войти на диск D: просматривать в нем содержимое папок кроме 1c-base и данные пользователей но сможет  из рабочего стола ах да для каждого пользователя создать на его раб столе ярлыки до его папок сможет через ярлык войти в свою папку и делать там что захочет но просматривать например список БД в папке 1c-base не сможет так же не сможет просмотреть список папок в папке данные пользователей надеюсь что может я помог кому то спасибо всем!