Я перепробовал все, чтобы предотвратить доступ пользователей к C: в сети через групповую политику, но они всегда находят способ обойти это (студенты).
Они не могут щелкнуть правой кнопкой мыши, чтобы создать ярлыки, но у них есть ярлыки на USB, и они могут запускать ярлыки для доступа к c :.
Нет специальной групповой политики, которая запрещает доступ к диску C. Есть предположения?
Использование клиентов windows xp с сервером 2003 для AD и GPolicy
Мы делаем это все время с нашими терминальными серверами, на случай, если кому-то каким-то образом удастся выяснить, как открыть традиционный диалог просмотра, Windows просто выдает сообщение о том, что текущая политика запрещает им доступ.
В своей групповой политике найдите следующее:
Прошло много времени с тех пор, как я это сделал, но я уверен, что это те настройки, которые вам потребуются. Есть способы переопределить предоставленные по умолчанию параметры, чтобы при необходимости можно было изменить диски, не считая предоставленных довольно ограничительных параметров.
Другой вариант - предоставить им доступ. Мы закончили тем, что обуздали их поведение (ну, деструктивное поведение) с помощью Deep Freeze от Faronics; он позволяет вам «заморозить» жесткий диск, а затем при перезагрузке он возвращается в состояние по умолчанию. Это было катарсисом, когда мы протестировали его, протерев подкаталог Windows, пока Windows не пошатнулась и не упала ... затем перезагрузилась и вернулась.
Это позволяет студентам делать все, что они хотят, не разрушая вашу конфигурацию; мы также обнаружили, что он устранил множество проблем с повреждением профилей и кешей.
Я думаю, что есть еще пара альтернатив, но я использовал только DeepFreeze. Есть центральная консоль, которая используется для мониторинга рабочих станций и может удаленно размораживать и замораживать их, мы также используем ее для получения IP-адресов для определенных рабочих станций.
Я работал в лабораториях, которые были закрыты до такой степени, что их было практически невозможно использовать ни для чего. Даже в классе мы не могли, например, открыть определенные документы или использовать блокнот для чтения исходного кода, потому что это не разрешалось системным администратором, который оказался в двух часах езды на центральном сайте, а местный администратор посетовал невозможность исправить определенные проблемы без предварительной договоренности с центральными администраторами. А это был колледж. Deep Freeze предоставил больше свободы для выполнения работы без вмешательства (он также позволяет некоторым людям на нашем сайте получить более высокие привилегии на локальном компьютере, поскольку все вредоносные программы или изменения стираются при перезагрузке; если они собираются изо всех сил установить «личное» программное обеспечение, которое им надоело постоянно переустанавливать при каждой перезагрузке (по крайней мере, мы это видели).
Мы пытались заблокировать вещи с помощью политики, когда запускали 2000 терминальных служб; мы обнаружили, что политика блокирует доступ только для определенных вещей, таких как проводник. Похоже, что некоторые программы (например, старая копия файлового менеджера из дней 3.x) все еще могли просматривать диск C: вместе с некоторыми бесплатными файловыми менеджерами! Если это не было исправлено, похоже, что определенные API-интерфейсы все еще позволяли пользователям получать доступ к локальным дискам, которые должны были быть заблокированы политикой. Кроме того, у нас есть системы, которые по причинам, которые мы никогда не понимали, иногда не получают политику сразу или действуют так, как если бы они не получали никаких обновлений политики до одной или двух перезагрузок, поэтому иногда у нас были люди, которые могли обходить блокировки конфигурации и делать что-то они не должны были.