none
Bloqueio de permissionamentos para usuários específicos

    Question

  • Gostaria de uma ajuda.

    Queria saber como poderia estar realizando o bloqueio de copias de dados do servidor (Terminal Server Windows 2012) para uma estação local, pen drive, ou proibir apenas de enviar arquivos (anexos) por email (de dentro do TS onde esta instalado o Outlook 2013).

    Além do que bloquear as funções dos arquivos de rede para certos usuários, as funções bloqueadas seriam a de copiar, recortar, colar e mover os arquivos. Sendo que os usuários devem ter a permissão de ler o arquivo e poder editar e salvar apenas na sua localidade original num ambiente de Windows Server 2012.

    Eu já verifiquei as questões de permissão NTFS nos arquivos e fiz varias tentativas sem sucesso. Pois quando aumentamos o nível de restrição ou o arquivo se torna invisível ao usuário, ou então ele nem abre, ou edita.

    Obrigado pela atenção.

    Friday, June 07, 2013 1:20 PM

Answers

All replies

  • Olá Marcelo, tudo bem?

    Quanto a questão de acesso e gravação, você deve configurar as permissões NTFS. Quanto a segurança contra cópia, recomendo que dê uma olhada se o EFS atende a sua necessidade: http://technet.microsoft.com/pt-br/library/cc749610(v=ws.10).aspx

    Espero ter ajudado!

    Abraço!


    Fernando H. da Silva - Microsoft Contingent Staff




    Friday, June 07, 2013 8:59 PM
  • Olá Marcelo,

    De acordo com o que pude perceber, se você possibilita que os usuários leiam (executem) os arquivos, consequentemente eles poderão copiá-los, e consequentemente, através da área de transferência do TS  para a maquina. No entanto, é possível bloquear a área de transferência do TS através de GPO, no caminho:

    Computer Configuration\Policies\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection


    Do not allow Clipboard redirection

    This policy setting allows you to specify whether to prevent the sharing of Clipboard contents (Clipboard redirection) between a remote computer and a client computer during a Terminal Services session.

    You can use this policy setting to prevent users from redirecting Clipboard data to and from the remote computer and the local computer. By default, Terminal Services allows this Clipboard redirection.

    If you enable this policy setting, users cannot redirect Clipboard data.

    If you disable this policy setting, Terminal Services always allows Clipboard redirection.

    If you do not configure this policy setting, Clipboard redirection is not specified at the Group Policy level. However, an administrator can still disable Clipboard redirection by using the Terminal Services Configuration tool.



    No entanto, caso você queira que os usuários não copiem nenhum arquivos para a suas respectivas estações de trabalho, você pode definir a permissão deste usuário para não escrever no disco à partir da raiz do "C:\". E também, através de GPO, definir que estes usuários não podem utilizar dispositivos removíveis (Pen-drives, Hd's externos, etc...).

    Espero ter ajudado.

    Friday, June 07, 2013 9:03 PM
  • Então Fernando, sobre as permissões NTFS o que eu quero exatamente não é possível de configurar! pois como disse: Eu já verifiquei as questões de permissão NTFS nos arquivos e fiz varias tentativas sem sucesso. Pois quando aumentamos o nível de restrição ou o arquivo se torna invisível ao usuário, ou então ele nem abre, ou edita.

    Sobre o EFS na questão de criptografia de arquivos, não queremos criptografar os arquivos em si apenas criar restrições, o AD RMS ate seria uma melhor opção nesse caso do que o EFS pois o nível de restrição e configuração é bem mais amplo. Mas acho mt complexo pra adotar num ambiente pequeno, e não seria bem o que estamos a procura.

    Mas muito obrigado pela ajuda. E caso saiba de outros métodos pode falar.

    Saturday, June 08, 2013 5:56 PM
  • Exatamente Heitor,

    " De acordo com o que pude perceber, se você possibilita que os usuários leiam (executem) os arquivos, consequentemente eles poderão copiá-los"

    Sobre essa questão de bloquear o TS pela GPO acho que é uma que podemos sim adotar. Obrigado pela dica já descrita, já me facilitou muito.

    Já impossibilitando a copia do TS para estação, já ira bastar de certa forma, pois eles trabalham apenas pelo TS. No mesmo já existe restrição ao acesso do C:, eles só visualizam os mapeamentos de rede dos seus respectivos setores assim como seus arquivos. Mas vou dar uma olhadinha com carinho na GPO sobre dispositivos removíveis.

    Agora o mais complexo seria isso aqui, não sei se expliquei bem a situação:

    Como eles acessam no TS seus mapeamentos de rede, e consequentemente seus arquivos, gostaria de bloquear as funções dos arquivos de rede para certos usuários, as funções bloqueadas seriam a de copiar, recortar, colar e mover os arquivos. Sendo que os usuários devem ter a permissão de ler o arquivo e poder editar e salvar apenas na sua localidade original.

    Exemplo, eu tenho o mapeamento \\dados\comercial\planilha.xls

    O usuário abre essa planilha, edita, e salva (só que só permite salvar no local de origem). Quer dizer, se eu der um salvar como, ctrl+c, ou tentar mover ele para os meus documentos ou qualquer outra área acessível de transferência ele não ira permitir salvar. Apenas permitir que seja salvo no local de origem que seria dentro de \\dados\comercial entende? Isso eu to falando de dentro do TS mesmo. E não da estação local.

    Saturday, June 08, 2013 6:06 PM
  • Olá Marcelo!

    Realmente a sugestão do Heitor é melhor aplicável a sua necessidade. Quanto a questão da cópia de arquivos, por favor confirme se o seguinte cenário exemplifica sua necessidade:

    Através do "PC1", o "usuário 1" conecta via TS no "SRVTS1". No "SRVTS1" ele acessa um mapeamento que direciona para o servidor "DADOS", onde existem varias pastas, e arquivos, entre eles "\comercial\planilha.xls" .

    Utilizando a GPO citada pelo amigo Heitor, é possível impedir a cópia de dados entre o servidor "dados" e o "PC1", e entre "SRVTS1" e "PC1". Também é possível criar uma gpo para desabilitar a utilização de dispositivos de armazenamento USB. Além disto, você deseja impedir também a cópia entre "\\DADOS" e "SRVTS1"?


    Fernando H. da Silva - Microsoft Contingent Staff

    Monday, June 10, 2013 3:37 PM
  • Então Fernando,

    Sobre as questões de impedir a copia de dados entre estação local e servidor de TS esta correta. A questão de desabilitar a utilização de dispositivos de armazenamentos também.

    A questão pendente, vou tentar exemplificar abaixo, seguindo o seu modelo:

    Através do "PC1"o "usuário1"conecta via TS no "SRVTS1". Uma vez conectado no "SRVTS1" ele ao abrir o Windows Explorer aparece os compartilhamentos de rede habilitados somente ao "usuário1".

    Vamos supor que ele seja do G-Comercial, então ele tem acesso ao mapeamento do comercial e seus arquivos. \\Dados\Comercial\Arquivos certo? lembrando, isso é apenas dentro do "SRVTS1", não existe esse mapeamento na estação local "PC1" ou em nenhum outro servidor para ele.

    Ele então vai dentro do compartilhamento e abre um arquivo \\Dados\Comercial\Arquivos\Planilha de custo.xls. Ai que entra a questão das restrições de permissões que falei. Eu desejo que ele consiga abrir o arquivo "Planilha de custo.xls", que consiga editar o mesmo, e salvar apenas na pasta de origem, o que significa que ele só pode salvar esse arquivo dentro de \\Dados\Comercial\Arquivos e não em outro local do tipo, Meus Documentos, Área de Trabalho, ou ate mesmo uma outra pasta criada dentro da estrutura comercial.

    Conseguiu entender o cenário?

    Monday, June 10, 2013 5:25 PM
  • Boa noite,

    As vezes chegamos a uma determinada hora que precisamos decidir se o usuário pode ou não ter as permissões a determinados arquivos. Muitos problemas desse tipo, são solucionados com a modificação do cenário atual ou uma boa política de segurança de seu ambiente. É possível executar essa tarefa, mas depende de como o seu cenário está montado.

    Vinicius Mozart

    Thursday, June 13, 2013 12:34 AM
  • Ola Vinicius,

    Então eu gostaria de saber se o cenário que eu descrevi (veja abaixo), de que forma eu posso chegar a esse tipo de permissionamento? Eu digo porque meu cenário atual, pode ser mudado ou adaptado que seja, mas antes de mexer nele, preciso saber se é possível o tipo de configuração abaixo, como proceder? precisa instalar alguma feature? algum software? Pois ate agora não identifiquei uma solução, do que desejo realizar.

    Através do "PC1"o "usuário1"conecta via TS no "SRVTS1". Uma vez conectado no "SRVTS1" ele ao abrir o Windows Explorer aparece os compartilhamentos de rede habilitados somente ao "usuário1".

    Vamos supor que ele seja do G-Comercial, então ele tem acesso ao mapeamento do comercial e seus arquivos. \\Dados\Comercial\Arquivos certo? lembrando, isso é apenas dentro do "SRVTS1", não existe esse mapeamento na estação local "PC1" ou em nenhum outro servidor para ele.

    Ele então vai dentro do compartilhamento e abre um arquivo \\Dados\Comercial\Arquivos\Planilha de custo.xls. Ai que entra a questão das restrições de permissões que falei. Eu desejo que ele consiga abrir o arquivo "Planilha de custo.xls", que consiga editar o mesmo, e salvar apenas na pasta de origem, o que significa que ele só pode salvar esse arquivo dentro de \\Dados\Comercial\Arquivos e não em outro local do tipo, Meus Documentos, Área de Trabalho, ou ate mesmo uma outra pasta criada dentro da estrutura comercial.

    Thursday, June 13, 2013 10:46 AM
  • Tenta dar permissoes especificas para o servidor no compartilhamento e nao para o usuario e verifica se funciona.

    Ajudei? Marca como útil.
    Visite meu blog: HowToServer

    Quer conversar ou pedir ajuda sobre Powershell?
    entre no grupo no Facebook Powershell Brasil
    Quer Aprender Powershell?

    Quer conversar ou pedir ajuda sobre servidores em geral?
    Entre no grupo no Facebook Administradores IT

    Meus Artigos na TechNet Wiki

    Thursday, June 13, 2013 1:48 PM
  • Bom dia,

    Eu desejo que ele consiga abrir o arquivo "Planilha de custo.xls", que consiga editar o mesmo, e salvar apenas na pasta de origem, o que significa que ele só pode salvar esse arquivo dentro de \\Dados\Comercial\Arquivos e não em outro local.

    Nessa caso você deve efetuar o mapeamento diretamente para essa pasta, para que o usuário não visualize outras pastas (isso já seria um grande passo para evitar acesso a outra pastas). A divisão e organização dos arquivos as vezes são mais importantes do que a permissões em si. Depois de efetuar o mapeamento, você reforçar a segurança nas opções de compartilhamento e segurança exemplo:

    .

    Usuario A tem acesso a Pasta A, mas não tem acesso a pasta B, pois não possui permissões de segurança e compartilhamento.

    .

    Ai você me pergunta: Qual a diferença entre permissões de segurança e compartilhamento ?

    .

    - Compartilhamento : evita que o usuário chegue a na pasta via UNC, ou seja, \\servidor\compartilhamento. Mesmo que o usuário tente mapear ele não consegue.

    .

    - Segurança: Ele deixa ver os arquivos da pasta, mas podemos bloquear alguns recursos como copiar, excluir, editar...., mas como dito essas opções amarram o usuário de muitas formas, por isso organizar os arquivos e realmente saber qual os direitos do usuário é de extrema importância dentro de sua organização.

    OBS: Manter o usuário como "Usuários do domínio" já evita muitos buracos de segurança em sua rede.

    .

    Como o assunto é bem delicado, vai tirando as dúvidas aos poucos e me passando se está esclarecendo.

    .

    Vinicius Mozart




    Thursday, June 13, 2013 2:17 PM
  • Boa Tarde Vinicius,

    Sobre o que você falou:

    Nessa caso você deve efetuar o mapeamento diretamente para essa pasta, para que o usuário não visualize outras pastas (isso já seria um grande passo para evitar acesso a outra pastas). A divisão e organização dos arquivos as vezes são mais importantes do que a permissões em si. Depois de efetuar o mapeamento, você reforçar a segurança nas opções de compartilhamento e segurança exemplo:  

    A questão é que esse "Usuário A" é do grupo "Comercial" e ele deve ter acesso a toda estrutura de dentro do comercial o que inclui varias pastas e arquivos.

    Vamos dizer que o "Usuário A" tem acesso a Pasta A, mas também a pasta B, pasta C, menos a pasta D.

    E claro ele terá acesso a sua própria área de trabalho que inclui a pasta Meus Documentos e as vezes ocorre de ter acesso a outras pastas de rede.

    Como faria para evitar que ele consiga copiar os arquivos de uma Pasta A da rede para os Meus Documentos? ou da Pasta A de rede para a Pasta B da rede? Isso sem remover a permissão do arquivo para o mesmo abrir, editar e salvar o arquivo na sua origem. Mas proibindo de copiar, mover, deletar.

    Pra você entender é no caso de digamos um usuário entrar em aviso prévio. Colocaria ele com as permissões restritas durante esse período, com as restrições que informei.

    Ele não pode deixar de trabalhar durante esse período, precisa acessar os arquivos e edita-los assim como salvar apenas na origem, mas não pode ficar movendo, copiando os arquivos pra outras localidades e nem exclui-los.

    Não sei se estou conseguindo explicar o cenário, ou senão entendi o que foi dito.

    Thursday, June 13, 2013 6:22 PM
  • Tente dar uma lida sobre RMS, talvez você consiga algo similar com ele.

    http://technet.microsoft.com/en-us/windowsserver/dd448611.aspx


    Ajudei? Marca como útil.
    Visite meu blog: HowToServer

    Quer conversar ou pedir ajuda sobre Powershell?
    entre no grupo no Facebook Powershell Brasil
    Quer Aprender Powershell?

    Quer conversar ou pedir ajuda sobre servidores em geral?
    Entre no grupo no Facebook Administradores IT

    Meus Artigos na TechNet Wiki

    • Marked as answer by MarceloGuedes Tuesday, July 02, 2013 6:31 PM
    Thursday, June 13, 2013 6:39 PM
  • Boa tarde,

    Reestruturação de pastas é o caminho. As opções que tem via NTFS são:

    Aconselho a reestruturar e fazer um  desenho de quem pode ou não visualizar certos arquivos, para que você possa ter mais respostas e facilidade nas permissões.

    Vinicius Mozart



    Friday, June 14, 2013 6:23 PM
  • Nesse caso a sua resposta não seria a melhor solução, já mencionei sobre as questões de NTFS que são restritas. Pode marcar a resposta do RMS. Seria o que mais perto chega da solução ao meu problema, sem que tenha de reestruturar e claro desmembrar varias pastas para isolar acessos e mesmo assim não resolveria minha questão por completo, como já expliquei.
    Tuesday, July 02, 2013 6:30 PM