Server 2008 con remote APP - Evitar que se escriba en el host

Pedro_madrid · 5 Junio 2014, 18:00 PM

Buenas,

Llevo unas horas dando vueltas a este asunto:

Necesito de alguna manera bloquear el acceso a las unidades del servidor TS para que los usuarios que se conectan a una aplicación, a la hora de abrir el menú contextual de abrir/guardar no puedan ver C, D... en el equipo host.
El problema está en que creo que no puedo hacerlo mediante GPO, ya que si les oculto C se lo hará tanto en su equipo como en el remoto.

¿Alguna idea?

Un saludo

engel lex · 5 Junio 2014, 18:17 PM

creo que vas a tener que explicar la idea con más detalles y menos acronimos

el-brujo · 5 Junio 2014, 19:21 PM

jeje bueno son acrónimos bastante habituales en informática

TS = Terminal Server
GPO = Directivas de Grupo GPO (Group Policy Object)

Puedes deshabilitar o registrir unidades usb y de disco duro mediante GPO:

Configuración de usuario > Directivas > Plantillas administrativas > Componentes de Windows > Explorador de Windows >> Ocultar estas unidades especificadas en Mi PC.

Despúes con Terminal Server puedes añadir una unidad de red propia del disco duro local del usuario para que guarde allí los datos.

Instalar software remotamente mediante GPO
http://blog.elhacker.net/2013/04/instalar-software-remoto-mediante-gpo-en-redes-windows.html

Pedro_madrid · 5 Junio 2014, 19:45 PM

Perfecto, con las unidades funciona. Pero los usuarios siguen pudiendo guardar cosas en su perfil en el servidor gracias a "Biblioteca" y "Favoritos" (maldito windows 7...) ¿Alguna idea para sacarlo?
He leido sobre modificar el registro para ello... pero me parece muy agresivo. Si se os ocurre alguna otra cosilla os lo agradecería.

Un saludo

Gh057 · 5 Junio 2014, 19:51 PM

hola Pedro_madrid, cambiando los atributos de dichas ubicaciones? si los usuarios no tienen permisos para cambiarlos bien podrías con ello... es una opción simple. saludos

Pedro_madrid · 5 Junio 2014, 22:38 PM

Cita de: Gh057 en 5 Junio 2014, 19:51 PM
hola Pedro_madrid, cambiando los atributos de dichas ubicaciones? si los usuarios no tienen permisos para cambiarlos bien podrías con ello... es una opción simple. saludos

Podría servir pero creo si les quito permisos de escritura en la carpeta raiz de los perfiles los usuarios que nunca se hayan conectado a ese TS no podrán crear su perfil de usuario y esto puede generarme algún tipo de problema... :S
Mañana seguiré peleándome con ello a ver si saco algo... gracias por las respuestas

Pedro_madrid · 8 Junio 2014, 20:20 PM

Al final el problema de las librerías y favoritos lo he solucionado con un script de inicio de sesión de usuario en el TS, de forma que oculta dichos enlaces ~~(mañana si puedo pongo los scripts, aunque son muy simples pero a alguien le puede ayudar la idea)~~

Código [Seleccionar]


for /F %%a in ('dir %userprofile%\Appdata\Roaming\Microsoft\Windows\Libraries\ /b') do attrib +h %userprofile%\Appdata\Roaming\Microsoft\Windows\Libraries\%%a

Código [Seleccionar]


for /F %%b in ('dir %userprofile%\Links\ /b') do attrib +h %userprofile%\Links\%%b

Sin embargo tengo otro problema: por defecto el dialog de abrir/guardar se va a la biblioteca documentos (aunque esté oculta), por lo que ahí pueden escribir...
Esto lo voy a solucionar con otro script de inicio de sesión, dando a los usuarios permisos de solo lectura sobre su perfil. Aún tengo que comprobar que esto finalmente funcione correctamente (por ejemplo, si no me va a dar problemas cuando un usuario que aún no tiene su perfil creado en el TS se loguee y lo cree...). Este script tengo que limitarlo a usuarios que no sean administradores, y como el TS no es servidor de dominio no puedo tirar del comando "net group" para sacar la lista de admins del dominio... por lo que tengo que introducirlo manualmente en el script...
~~Mañana si puedo cuelgo ambos scripts~~

Código [Seleccionar]


IF "%username%"=="Administrador" GOTO fin
IF "%username%"=="Admin2" GOTO fin
IF "%username%"=="Admin3" GOTO fin
IF "%username%"=="Admin4" GOTO fin
cacls %userprofile% /T /E /P %username%:R
:fin

Un saludo