none
policy per nascondere determinate unità a determinati utenti RRS feed

  • Domanda

  • salve a tutti.

    dovrei creare una policy in maniera tale che alcuni utenti (che accedono in RD e lavorano direttamente sull'application server) NON vedano le unità "C" ed "S". Ho seguito alcune guide, ma non ne vengo a capo. ho anche installato la gpmc. In particolare non riesco a riprodurre questa schermata: http://www.xenappblog.com/2010/using-group-policy-hide-map-specified-drives/

    se apro gpedit.msc -> configuraz utente -> modelli amministrativi -> componenti di windows -> esplora risorse, ho due criteri esistenti: "impedisci l'accesso alle unità da risorse del computer" e "nascondi le unità specificate in risorse del computer".

    Queste due policy offrono lo stesso menù a tendina dove si possono disabilitare solo delle combinazioni comuni di unità (es. C e D).

    1. che differenza c'è fra le due policy allora?

    2. quale iter seguire per creare una policy ad hoc ed assegnarla solo agli utenti interessati?

    Grazie mille


    Mirko

    lunedì 8 ottobre 2012 12:34

Risposte

  • Allora cerco di perfezionare la risposta in parte  già data da Fabrizio al punto2

    Data la scarna descrizione dello scenario assumo che esista un Dominio con utenti di dominio. In tal caso

    La regola è che le policies di dominio possono essere organizzate attraverso le OU:
    Crea una OU,
    Sposta nella OU l'utente o gli utenti
    Con il Mouse sopra la OU , sando GPMC crea una GPO e collegala alla OU che contiene gli utenti e nella sezione User

    [User Configuration\Administrative Templates\Windows Components\Windows Explorer]
    Remove Map Network Drive and Disconnect Network Drive
    Remove Search button from Windows Explorer
    Disable Windows Explorer's default context menu
    Hides the Manage item on the Windows Explorer context menu
    Hide these specified drives in My Computer (Enable this setting for A through D.)
    Prevent access to drives from My Computer (Enable this setting for A through D.)

    INOLTRE CONSIDERA ANCHE QUESTA POSSIBILITA' (DIPENDE DAL TUO SISTEMA OPERATIVO)

    ENABLE DISABLE Network Discovery

    http://social.technet.microsoft.com/Forums/hu/windowsserver2008r2general/thread/665f7d19-3629-4433-be8f-b2439164dfe5

    NOTA TECNICA La mappatura di una Shared può essere basata sul protocollo CIFS porta 445. Non è pertanto richiesto lasciare abilitati protocolli e porte di browsing di rete come il NBT porte 137 138 139 o altri protocolli più recenti (Link Layer Topology Discovery vedi http://en.wikipedia.org/wiki/Link_Layer_Topology_Discovery)

    Ciao

    Robert

    lunedì 8 ottobre 2012 17:38

Tutte le risposte

  • Ciao, la policy "impedisci l'accesso alle unità da risorse del computer" blocca proprio la visualizzazione del contenuto delle unità tramite Esplora risorse, per ulteriori informazioni puoi consultare questo link: http://technet.microsoft.com/en-us/library/cc978514.aspx

    Invece la policy "nascondi le unità specificate in risorse del computer" rimuove solo l'icona grafica ma non impedisce la visualizzazione del contenuto: http://technet.microsoft.com/en-us/library/cc975948.aspx

    I criteri descritti in quel link (sei sempre tu che avevi aperto questa domanda? http://social.technet.microsoft.com/Forums/it-IT/adgrouppolicyit/thread/d0f8ca36-2424-4391-b998-c80bbc4e63ee/#ba9df325-3396-4af7-ad3f-9706b9df0c76 ) sono disponibili creando le unità mappate attraverso le Preferenze dei criteri di gruppo ed è necessario avere almeno Windows Server 2008: http://technet.microsoft.com/it-it/library/cc731892(v=ws.10).aspx

    lunedì 8 ottobre 2012 14:41
    Moderatore
  • Allora cerco di perfezionare la risposta in parte  già data da Fabrizio al punto2

    Data la scarna descrizione dello scenario assumo che esista un Dominio con utenti di dominio. In tal caso

    La regola è che le policies di dominio possono essere organizzate attraverso le OU:
    Crea una OU,
    Sposta nella OU l'utente o gli utenti
    Con il Mouse sopra la OU , sando GPMC crea una GPO e collegala alla OU che contiene gli utenti e nella sezione User

    [User Configuration\Administrative Templates\Windows Components\Windows Explorer]
    Remove Map Network Drive and Disconnect Network Drive
    Remove Search button from Windows Explorer
    Disable Windows Explorer's default context menu
    Hides the Manage item on the Windows Explorer context menu
    Hide these specified drives in My Computer (Enable this setting for A through D.)
    Prevent access to drives from My Computer (Enable this setting for A through D.)

    INOLTRE CONSIDERA ANCHE QUESTA POSSIBILITA' (DIPENDE DAL TUO SISTEMA OPERATIVO)

    ENABLE DISABLE Network Discovery

    http://social.technet.microsoft.com/Forums/hu/windowsserver2008r2general/thread/665f7d19-3629-4433-be8f-b2439164dfe5

    NOTA TECNICA La mappatura di una Shared può essere basata sul protocollo CIFS porta 445. Non è pertanto richiesto lasciare abilitati protocolli e porte di browsing di rete come il NBT porte 137 138 139 o altri protocolli più recenti (Link Layer Topology Discovery vedi http://en.wikipedia.org/wiki/Link_Layer_Topology_Discovery)

    Ciao

    Robert

    lunedì 8 ottobre 2012 17:38
  • perdonatemi ma non sto capendo molto. dunque, ho fatto come segue: creato OU "utenti ristretti" nella quale ho creato una policy.

    come vedete ho impostato direttamente postmaster come utente di prova per la policy, rimuovendo il default che è "authenticated users". 

    Creo la policy per mappare N (che è un drive di rete) con modalità "sostituisci". provo a loggarmi come postmaster, ma non lo mappa.

    Poi ho bisogno di nascondere i due drive fisici "C" ed "S": ma devo specificare un percorso anche in questo caso, ma quale? "C:\" e "S:\" ?

    E' veramente ostico


    Mirko

    martedì 9 ottobre 2012 08:39
  • Sicuro che il percorso di rete e le credenziali sono valide? Magari fai prima un test a livello locale.

    Hai selezionato nella policy la voce di esecuzione nel contesto utente come descritto nell' articolo che avevi citato all'inizio?

    Se i client sono Windows XP/Windows Server 2003 hai installato le estensioni lato client delle preferenze di criteri di gruppo?

    http://www.microsoft.com/it-it/download/details.aspx?id=3628

    martedì 9 ottobre 2012 09:38
    Moderatore
  • dunque sono riuscito a impostare la policy a quanto pare! 

    ovviamente, limite mio che non conosco alla perfezione AD. Ho seguito le istruzioni di robert e ho ripristinato "authenticated users" nel riquadro filtri di sicurezza, rimosso postmaster, poi ho spostato l'utente postmaster nella ou "utenti ristretti" come indicato da robert e ... funziona! infatti già durante il login compare "applicazione di group policy ai drive". 

    inoltre ho dovuto configurare i drive da mappare come segue: 

    N: (nas) con percorso e modalità "sostituisci" dando sulla sinistra "mostra unità" mentre sulla destra "nascondi tutte le unità". O.o

    C:\ con modalità "elimina" e con le opzioni settate su "nascondi unità" e "nascondi tutte le unità" ---> idem per l'unità S:\

    ora sembra andare: vi torna?

    Grazie delle risposte!


    Mirko

    martedì 9 ottobre 2012 10:23
  • Quindi l'utente non si trovava nell'OU "utenti ristretti"? Se la group policy era stata applicata solo all'OU (e non all'intero dominio) era ovvio che così non ti poteva funzionare....qui però si trattava proprio di un errore di configurazione delle group policy, non era mai stato un problema di criterio delle share di rete.

    Comunque così può andare, ma ora che hai spostato l'utente postmaster nell'unità organizzativa puoi anche ripristinare il filtro di sicurezza in modo da applicare la policy solo a quel dato utente e non a tutti gli utenti contenuti in "utenti ristretti".

    martedì 9 ottobre 2012 10:32
    Moderatore
  • ah ok! ma a me serve per diversi utenti, per cui li butto in quella OU e pace!

    Grazie mille, utilissimi come sempre

    Mirko


    Mirko

    martedì 9 ottobre 2012 10:37
  • Grazie a Te per avermi Citato!

    Buon Lavoro

    Robert

    martedì 9 ottobre 2012 13:01