none
Limitare i permessi degli utenti RRS feed

  • Domanda

  • Ciao

    "Ho letto un pò in giro che questo è possibile farlo attraverso i pemessi NTFS"

    e lo fai utente per utente?

    Ho una necessità simile alla tua, non permettere salvataggio file o creazione cartelle nel desktop terminal server, hai qualche soluzione pratica?

    Nel gpo non trovo nulla,

    Ciao grazie

    mercoledì 28 marzo 2012 07:49

Risposte

  • "Ho letto un pò in giro che questo è possibile farlo attraverso i pemessi NTFS"

    e lo fai utente per utente?

    Ho una necessità simile alla tua, non permettere salvataggio file o creazione cartelle nel desktop terminal server, hai qualche soluzione pratica?

    Qui http://social.technet.microsoft.com/Forums/en-en/winserverGP/thread/13db620e-fb72-48d1-a391-5d3ea9f3ba0c trovi uno script che resetta i permessi per le home di tutti gli utenti presenti su di un server (le acl devono essere adattate alle tue esigenze, ma può essere uno spunto da cui partire)

    Es.: setta i permessi  al desktop di Mario Rossi dando a system e administrators "full control" e  "read only" all'utente stesso.
    echo y|cacls  "d:\utenti\mario.rossi\desktop"  /c /T   /p   administrators:F  system:F   "mario.rossi:R"

    Riguardo i permessi ntfs dovrai fare un po' di test,  incomincia con un utente prototipo, dove  modificherai  le acl del Desktop/documenti etc. perchè rispecchino le tue esigenze, successivamente, dopo aver verificato che tutto funzioni correttamente (restringere troppo potrebbe essere rischioso) usando script  (cmd + icacls, powershell ... ) replicherai i permessi corretti a tutti gli altri utenti  (es. icacls d:\utenti\utenteprototipo /save utente_prototipo.txt /t /c).                 

    oppure un altra soluzione  molto semplice, potrebbe essere la seguente

    • via gpo setti un desktop wallpaper che segnala la rimozione automatica di tutti i file salvati sul desktop ... 
    • crei uno script che cancella il desktop e via gpo lo utilizzi come script di logon e di logoff (x sicurezza maggiore) 

    Ciao Gas


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!

    • Proposto come risposta Anca Popa martedì 3 aprile 2012 11:17
    • Contrassegnato come risposta Anca Popa mercoledì 4 aprile 2012 06:35
    giovedì 29 marzo 2012 20:57
    Moderatore

Tutte le risposte

  • posso solo dirti che lo script powershell (pubblicato prima) per settare i permessi sulle cartelle funziona.
    per il resto non so dirti, perchè il progetto per il quale stavo facendo tutto sto macello è sospeso e quindi lo lasciato stare.
    mercoledì 28 marzo 2012 08:02
  • si ma quello script agisce sul singolo utente?

    Con group policy common scenarios si riesce a combinare? 

    • Modificato Lukebon mercoledì 28 marzo 2012 08:15
    mercoledì 28 marzo 2012 08:04
  • apri una mmc.exe aggiungi uno snap-in Editor Oggetti Criteri di Gruppo e lo associ ad "Utenti non amministratori" (vedi figura) e poi gli dai tutte le restrizioni che vuoi.

    Per il resto lo script mi serviva per creare un automatismo ad ogni creazione di utente.

    mercoledì 28 marzo 2012 08:27
  • si, fin qua ci sono, ma nelle policy di default di 2003server non c'è la possibilità di impedire la creazione di file/cartelle nel desktop
    mercoledì 28 marzo 2012 08:33
  • Ciao, ha ragione Luke, la policy su 2003 non c'è. Puoi solo bloccare la modifica sul desktop tramite la security permission sulla cartella desktop. Puoi anche usare uno startup script se non vuoi farlo utente per utente.

    A.

     
    giovedì 29 marzo 2012 08:40
    Moderatore
  • "Ho letto un pò in giro che questo è possibile farlo attraverso i pemessi NTFS"

    e lo fai utente per utente?

    Ho una necessità simile alla tua, non permettere salvataggio file o creazione cartelle nel desktop terminal server, hai qualche soluzione pratica?

    Qui http://social.technet.microsoft.com/Forums/en-en/winserverGP/thread/13db620e-fb72-48d1-a391-5d3ea9f3ba0c trovi uno script che resetta i permessi per le home di tutti gli utenti presenti su di un server (le acl devono essere adattate alle tue esigenze, ma può essere uno spunto da cui partire)

    Es.: setta i permessi  al desktop di Mario Rossi dando a system e administrators "full control" e  "read only" all'utente stesso.
    echo y|cacls  "d:\utenti\mario.rossi\desktop"  /c /T   /p   administrators:F  system:F   "mario.rossi:R"

    Riguardo i permessi ntfs dovrai fare un po' di test,  incomincia con un utente prototipo, dove  modificherai  le acl del Desktop/documenti etc. perchè rispecchino le tue esigenze, successivamente, dopo aver verificato che tutto funzioni correttamente (restringere troppo potrebbe essere rischioso) usando script  (cmd + icacls, powershell ... ) replicherai i permessi corretti a tutti gli altri utenti  (es. icacls d:\utenti\utenteprototipo /save utente_prototipo.txt /t /c).                 

    oppure un altra soluzione  molto semplice, potrebbe essere la seguente

    • via gpo setti un desktop wallpaper che segnala la rimozione automatica di tutti i file salvati sul desktop ... 
    • crei uno script che cancella il desktop e via gpo lo utilizzi come script di logon e di logoff (x sicurezza maggiore) 

    Ciao Gas


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE!

    • Proposto come risposta Anca Popa martedì 3 aprile 2012 11:17
    • Contrassegnato come risposta Anca Popa mercoledì 4 aprile 2012 06:35
    giovedì 29 marzo 2012 20:57
    Moderatore
  • Ciao Lukebon,

    La tua richiesta nel Forum di Windows Server è ancora aperta per noi.

    Intanto, i partecipanti nella discussione ti hanno lasciato altrettanti suggerimenti e domande.

    Ricorda di cliccare su "Segna come Risposta" per i post che ti sono tornati utili, per ringraziare i partecipanti nella discussione e per aiutare gli altri utenti che leggeranno il thread a trovare la soluzione.

    Grazie,


    Anca Popa Follow ForumTechNetIt on Twitter

    La Conferenza Italiana sulla Virtualizzazione

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    martedì 3 aprile 2012 11:17