[Server] Скрытие сетевых дисков win2003

Тема в разделе "Windows", создана пользователем mdss, 10 июн 2011.

Модераторы: ADMiNZ
  1. mdss

    mdss ♖♘♗♕♔♗♘♖

    Moderator
    Регистр.:
    20 фев 2007
    Сообщения:
    1.126
    Симпатии:
    668
    Есть сервер терминалов с win2003.
    Есть тонкие клиенты.

    Задача.
    Нужно отключить отдачу файлов с сервера, но в тоже время оставить прием файлов.
    Т.е. чтобы с флешки воткнутой в тонкий люди могли на сервак закачивать файлы, а вот с сервака на флешку уже ни-ни.
     
  2. CraZee

    CraZee

    Регистр.:
    11 сен 2006
    Сообщения:
    594
    Симпатии:
    658
    Есть куча софта, которая позволяет контролировать и настраивать практически любой доступ к съемным носителям.

    Пару названий для примера:


    MyUSBOnly
    DeviceLock Endpoint DLP Suite
    FileControl
     
    mdss нравится это.
  3. mdss

    mdss ♖♘♗♕♔♗♘♖

    Moderator
    Регистр.:
    20 фев 2007
    Сообщения:
    1.126
    Симпатии:
    668
    все это хорошо, но они полностью блокируют копирование файлов на usb накопители, а это я и без этого софта могу сделать. Мне нужно чтобы с флешки все-таки можно было копировать файлы, а вот на нее нельзя
     
  4. o_nix

    o_nix

    Регистр.:
    7 ноя 2007
    Сообщения:
    1.073
    Симпатии:
    1.037
    mdss - ну так просто запись на флеху запрети, эффект будет то тже не надо усложнять :)

    попробуй в реестре твик сделать
    это запретит запись на флешку

    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
    "WriteProtect"=dword:00000001
    
    если ещё нужно разграничение админов и юзеров нужно сделать внесение этого твика в реестра при загрузке системы от имени пользователя.
    ну и запретить пользователям редачить реестр

    софт никакой сторонний при этом не нужен будет, всё делается средствами самой винды
     
    mdss нравится это.
  5. Conwell

    Conwell

    Регистр.:
    23 мар 2009
    Сообщения:
    337
    Симпатии:
    177
    На самом деле Device Lock умеет делать разделения копирования с флешки и записи на нее. При этом позволяет сохранять логи в sql, что позволяет делать выборку статистики. Аналогино себя ведет GFI endpointsecurity не просто закрывает доступ к USB, а логирование и остальные прелести разграничения доступов по чтению и записи.
     
    mdss нравится это.
  6. lift

    lift Читатель

    Заблокирован
    Регистр.:
    1 июл 2007
    Сообщения:
    2.226
    Симпатии:
    1.378
    А почему просто не поставить в правах на диск на чтение и запретить на запись? Через права? Или там косяк с разными буквами дисков? Просто у меня настроены некоторые права на сменный носитель, но он подключается обычно только под двумя вариантами букв диска.
    Или кстати по ходу сейчас пришел вариант, что можно выделить квоты дисковые на сменные носители ))) Например 1 кб. Читать давать будет а вот записать сразу будет превышение квоты.
     
    mdss нравится это.
  7. mdss

    mdss ♖♘♗♕♔♗♘♖

    Moderator
    Регистр.:
    20 фев 2007
    Сообщения:
    1.126
    Симпатии:
    668
    теперь осталось придумать как для сетевого накопителя установить дисковую квоту

    Добавлено через 1 минуту
    ЗЫ все предыдущие варианты отсеклись на месте. Они работают если только напрямую втыкать в усб-порт (в серваке), а у меня усб у тонких
     
  8. lift

    lift Читатель

    Заблокирован
    Регистр.:
    1 июл 2007
    Сообщения:
    2.226
    Симпатии:
    1.378
    Как у тебя все реализовано?
    Тонкие у тебя самостоятельные полноценные компы или обрубки, способные только на включение и автоконнект к серваку по RDP?
    Если второй вариант то в принцепе с кватами и политиками должно получится потому, что на сервере диск будет определяться как обычный съемный. По крайней мере я так делал периодически. Тоесть втыкал флешку в комп тут, шарил ее при подключении в свойствах клиента RDP и на сервак ломился. на серваке она поределялась как диск и работала как с простым диском. Тут я так понимаю тоже самое.
    Если у тебя по первому варианту, тонкие клиенты это более менее полноценные компы, то тут уже варианты или через AD тоже самое сделать или поднять на них отдельный софт который через тебя регулироваться будет. Но при этом советы в принцепе те же самые и остаются.
     
  9. mdss

    mdss ♖♘♗♕♔♗♘♖

    Moderator
    Регистр.:
    20 фев 2007
    Сообщения:
    1.126
    Симпатии:
    668
    вариант у меня первый, там WIN CE стоит. Софт на них наврядли нужный поставишь, буду ковырять АД
     
  10. lift

    lift Читатель

    Заблокирован
    Регистр.:
    1 июл 2007
    Сообщения:
    2.226
    Симпатии:
    1.378
    Опять пара вариантов получается:
    1) если они через удаленку подцепляются с к серверу и с удаленки шарят флешку, то смотри что про квоты я написал. Хотя это я так тебе, скорее всего у тебя не такой вариант, а следующий.
    2) они у тебя по сети со своей машины шары сливают и заливают файлы. Тогда вообще все просто. Добавляй этих юзеров в группу, назначай им права на расшареной (на сервере скорее всего) папке на просмотр и запись. а на чтение права убери. Они смогут свое залить по сети а вот прочитать и слить по сети их через терминал они не смогут. А на сервере у них другие юзеры и другие права (как вариант те же юзеру но в другой группе) и все читаться будет спокойно. Удалять тоже с терминала только получится а по сети сразу я так посмотрел такой возможности при отключеном чтении нет. Ну по крайней мере я копнул не глубоко и не увидел этой возможности.