Мы пытаемся заблокировать сервер терминалов и хотим лишить коммерческий пакет возможности принимать пути к файлам UNC, т.е. пути в приложении могут быть введены только с использованием букв дисков Windows.
Есть ли способ сделать это в Windows?
Можно ли запретить пути UNC только для приложения?
Можно ли запретить пути UNC для всего сеанса сервера терминалов?
Намерение состоит в том, чтобы разрешить приложению писать только в определенные каталоги (как показано в сеансе сервера терминалов). Цель состоит в том, чтобы предотвратить вывод файлов в каталоги, к которым пользователи имеют доступ, но не отображаются в сеансе сервера терминалов.
Внутри (в коде Windows) буква диска - это не что иное, как оболочка для UNC-пути. Это говорит мне о том, что то, о чем вы просите, невозможно.
Это сообщение на форуме похоже, подразумевает, что установка групповой политики «Удалить меню запуска из меню« Пуск »» отключает использование путей UNC в приложениях, которые используют общие диалоговые окна для открытия и сохранения.
Однако я бы посоветовал не поступать так. Почти наверняка есть способы обойти эту политику, особенно если вы разрешаете выполнение произвольного кода.
Интересный вопрос. Я на 99% уверен, что ответ - «нет», потому что я никогда не встречал ничего подобного. Имена UNC являются более «фундаментальными», чем буквы сетевых дисков, поэтому я был бы очень удивлен, если бы их можно было отключить или, по крайней мере, не без некоторого взлома (например, помещения серверов в файл lmhosts с неправильным IP-адресом).
Для управления доступом используются списки управления доступом к общим ресурсам или каталогам, находящимся за общим ресурсом.
JR
Лично я считаю это вопросом политики, а не техническим вопросом. Какие бы «плохие» вещи ни происходили, если пользователь пишет за пределами подключенных к сеансу дисков, вам нужно будет проинформировать, обучить и развлечь их о проблеме, и они не будут этого делать. Это не может быть катастрофой, если они это сделают, не так ли? Просто до некоторой степени неудобно?
Вы должны иметь возможность добавить групповую политику, которая применяется только к пользователю, когда он входит в систему на сервере терминалов - в которой вы соответствующим образом настраиваете разрешения.
Возможно, добавив терминальные серверы в группу, добавив эту группу с запрещенными разрешениями на рассматриваемые пути unc и включив кольцевую обработку для этой политики? Не уверен, что это сработает без тестирования, но, увы ...
Попытка предотвратить возникновение чего-либо путем удаления частей пользовательского интерфейса в большинстве случаев является плохой идеей, поскольку ее слишком часто легко обойти - а UNC является основой сети Windows, поэтому удаление поддержки для него означало бы удаление всех возможностей сетевого общего доступа / принтера / адресации, включая домашние папки и прочее.