Windows 2003 server. Политика безопасности?

[URIK]

Добрый день форумчане.

Начну с того что есть.

1.Типа сервер аля "собрали из того что было" с OS Windows 2003 server Enterprise Edition с установленными ролями терминального и файлового сервера.
2. Сеть обычная груповуха.
3. Есть ~ 20 терминальных юзеров которые ежедневно колотят в нем 1С бухгалтерию (7.70.0.27), которая для них является рабочей средой (установлено в свойствах пользователя).

Все это работает хорошо, если не одно НО .

Необходимо на том же сервере установить еще несколько баз 1С с возможностью одновременной работой в них. Из этого сделал вывод, что юзеру надо давать доступ к терминальному рабочему столу со всеми вытекающими последствиями. Так же прогнозирую, что могут потребоваться Excel и Word в терминале (юзеру переключаться лень).

Отсюда вопрос! Как можно быстро настроить политику безопасности по "самое не могу" (чтобы только запуск 1С и часы ) для всех юзеров без Active Directory на сервере. Консоль, Ctrl + Alt + Dell, заставки, проги и тд. убрать. Пробовал ручками через gpedit (груп. полит.) но это ж надо каждому пользователю вбить, как и другими прогами которые я видел.

Может есть какой то путь попроще и понадежнее?

 

[Zevs]

А поиграть с параметрами командной строки (и вбубенить в автозапуск) %SystemRoot%\system32\mstsc.exe не пробовали? Все сразу со старта окажутся там (на серваке) со всем необходимым набором: 1с, офис и т.д.

 

[sgs1999]

А ты создай группу безопасности типа 1сUser, и дать доступ на папки для этой группы. Ну и всё вырубаеш всех пользователей из группы администраторов и включаеш в эту группу и в группу пользователи. на дискедаеш нужные разрешения для этой группы.
Ну или поднимаеш АД и идеш в Групповые политики. На opendoc.net там всё описано.

 

[URIK]

А поиграть с параметрами командной строки (и вбубенить в автозапуск) %SystemRoot%\system32\mstsc.exe не пробовали? Все сразу со старта окажутся там (на серваке) со всем необходимым набором: 1с, офис и т.д.

Немножко поигралсо с mstsc.exe (Microsoft Terminal Services Commands) понял зачем оно надо, но не понял зачем оно нужно мне, если у меня у всех юзеров настроеный RDP стоит.

А ты создай группу безопасности типа 1сUser, и дать доступ на папки для этой группы. Ну и всё вырубаеш всех пользователей из группы администраторов и включаеш в эту группу и в группу пользователи. на дискедаеш нужные разрешения для этой группы.
Ну или поднимаеш АД и идеш в Групповые политики. На opendoc.net там всё описано.

А у меня уже все это есть, и группа 1С только с правами "Пользователи удаленного рабочего стола" и ограничения на запись (только папка с 1С), остальное только чтение.

В принципе с этими правами у юзеров шансов загубить сервак немного, но вот излишне загрузить (обои в bmp или tiff (!) на 5-10 Mb, аквариумы и тд) это у нас пожалуйста.

А у сервака итак памяти мало. Поэтому хочу все эти мелочи отрубить, ну и заодно доступ к консоли. На рабочем столе только ярлычки 1С, Word, Excel, Сетевое окружение.

Чуствую все закончится Active Directory, но очень уж его не хочется ставить. Лишняя нагрузка на сервер. Может есть "щадящий" режим

 

[Zevs]

Немножко поигралсо с mstsc.exe (Microsoft Terminal Services Commands) понял зачем оно надо, но не понял зачем оно нужно мне, если у меня у всех юзеров настроеный RDP стоит.

Ясно. Ок.

А у меня уже все это есть, и группа 1С только с правами "Пользователи удаленного рабочего стола" и ограничения на запись (только папка с 1С), остальное только чтение.

В принципе с этими правами у юзеров шансов загубить сервак немного, но вот излишне загрузить (обои в bmp или tiff (!) на 5-10 Mb, аквариумы и тд) это у нас пожалуйста.

А у сервака итак памяти мало. Поэтому хочу все эти мелочи отрубить, ну и заодно доступ к консоли. На рабочем столе только ярлычки 1С, Word, Excel, Сетевое окружение.

Чуствую все закончится Active Directory, но очень уж его не хочется ставить. Лишняя нагрузка на сервер. Может есть "щадящий" режим

Извините, но откуда на серваке Win2003 обои в bmp или tiff и аквариумы? Директ-Икс через терминал не работает в принципе. Так что аквариум - локальный на кампе клиента и грузит только его.

 

[URIK]

Ясно. Ок.
Извините, но откуда на серваке Win2003 обои в bmp или tiff и аквариумы? Директ-Икс через терминал не работает в принципе. Так что аквариум - локальный на кампе клиента и грузит только его.

Ну с bmp понятно, засовывают любимую кошечку - собачку или бывает целый "комплекс" таких картинок.

"Аквариум" на терминал конечно не поставишь, но танцующих девочек и тому подобных хоть отбавляй.

(появились на следующий же день в двух терминалах )

 

[Zevs]

Как то странно, однако. У меня вообще все кнопки, списки и т.д. на вкладке "Рабочий стол" в виндовом терминале на серваке заблокированы. И заставки ведь сначала подсунуть на сервак надо. Или я чего-то не догоняю.

 

[URIK]

Как то странно, однако. У меня вообще все кнопки, списки и т.д. на вкладке "Рабочий стол" в виндовом терминале на серваке заблокированы. И заставки ведь сначала подсунуть на сервак надо. Или я чего-то не догоняю.

Вот Вот мне это и надо заблокировать... Вчера поставил AD со всеми вытекающими. Часа два ковырял политику безопасности, чтобы терминальные юзеры смогли нормально законектится. Плюс ко всему у сервера исчезло почти 60Mb оперативки - а ее и так не хватает. Из-за этого я и не хотел ставить AD - тяжелая она. Зато конечно все нужные настройки (через Group Policy) делаются на ура.

Кстати нашел список, что рекомендует мирософт при настройке политики безопасности терминалов.

Настройки Computer Configuration:

Do not display last user name in logon screen (Не выводить имя последнего пользователя на экране входа)
Restrict CD-ROM access to locally logged-on user only (Ограничить доступ к CD-ROM только для локально вошедших пользователей)
Restrict floppy access to locally logged-on user only (Ограничить доступ к FDD только для локально вошедших пользователей)
Disable Windows Installer—Always (Запретить Windows Installer - Всегда)

Настройки User Configuration:

Folder Redirection: Application Data
Folder Redirection: Desktop
Folder Redirection: My Documents
Folder Redirection: Start Menu
Remove Map Network Drive and Disconnect Network Drive (Удалить команды Map Network Drive и Disconnect Network Drive)
Remove Search button from Windows Explorer (Удалить кнопку Search из Windows Explorer)
Disable Windows Explorer’s default context menu (Запретить контекстное меню в Windows Explorer)
Hide the Manage item on the Windows Explorer context menu (Спрятать команду Manage в контекстном меню Windows Explorer)
Hide these specified drives in My Computer (enable this setting for A through D) (Спрятать следующие диски в My Computer - от A до D)
Prevent access to drives from My Computer (enable this setting for A through D) (Запретить доступ к этим дискам в My Computer - от A до D)
Hide Hardware Tab (Запретить вкладку Hardware)
Prevent Task Run or End (Запретить запуск и завершение задач)
Disable New Task Creation (Запретить создание новых задач)
Disable and remove links to Windows Update (Запретить и удалить ссылки на Windows Update )
Remove common program groups from Start Menu (Удалить группу общих программ из меню Start)
Disable programs on Settings Menu (Запретить программы в меню Start)
Remove Network and Dial-up Connections from Start Menu (Убрать пункт Network and Dial-up Connections из меню Start)
Remove Search menu from Start Menu (Убрать пункт Search из меню Start)
Remove Help menu from Start Menu (Убрать пункт Help из меню Start)
Remove Run menu from Start Menu (Убрать пункт Run из меню Start)
Add Logoff to Start Menu (Добавить понкт Logoff в меню Start)
Disable and remove the Shut Down command (Запретить и удалить команду Shut Down )
Disable changes to Taskbar and Start Menu Settings (Запретить изменения в панель задач и настройки меню Start)
Hide My Network Places icon on desktop (Спрятать иконку My Network Places на рабочем столе)
Prohibit user from changing My Documents path (Запретить пользователю менять путь My Documents)
Disable Control Panel (Запретить Панель Управления)
Disable the command prompt (Set Disable scripts to No) (Запретить командную строку)
Disable registry editing tools (Запретить инструменты редактирования реестра)
Disable Task Manager (Запретить Task Manager)
Disable Lock Computer (Запретить Lock Computer)

 

[Eprog]

Молоток земляк... если б сразу AD воткнул меньше б проблем было...
А насчет оперативки... это к начальству... по нынешним ценаб лишних 512Мб не так уж много стоит...