Windows で UNC パスを無効にすることはできますか?

Windows で UNC パスを無効にすることはできますか?

ターミナル サーバーをロックダウンし、商用パッケージの UNC ファイル パスを受け入れる機能を削除したいと考えています。つまり、アプリ内のパスは、Windows ドライブ文字を使用してのみ入力できるようになります。

Windows でこれを行う方法はありますか?

アプリに対してのみ UNC パスを禁止できますか?

ターミナル サーバー セッション全体で UNC パスを禁止することはできますか?

アプリケーションが特定のディレクトリ (ターミナル サーバー セッションでマップされている) にのみ書き込めるようにすることが目的です。目的は、ユーザーがアクセスできるがターミナル サーバー セッションでマップされていないディレクトリへのファイルの出力を防ぐことです。

答え1

内部的には (Windows コードでは) ドライブ文字は UNC パスのラッパーにすぎません。これは、あなたが尋ねていることは不可能であることを示唆しています。

答え2

このフォーラム投稿グループポリシーを設定することを示唆しているようです「スタート メニューから実行メニューを削除する」開くと保存の共通ダイアログを使用するアプリケーションで UNC パスの使用を無効にします。

しかし、私はこの行動方針に反対します。特に任意のコードの実行を許可する場合、このポリシーを回避する方法がほぼ確実に存在します。

答え3

興味深い質問ですね。私はそのようなことに遭遇したことがないので、答えは 99% 確実に「いいえ」です。UNC 名はネットワーク ドライブ文字よりも「基本的」なので、無効にできるとしたら、または少なくとも何らかのハッキング (たとえば、間違った IP アドレスで lmhosts ファイルにサーバーを配置する) なしでは無効にできないとしたら、私は非常に驚きます。

アクセスを制御する方法は、共有または共有の背後にあるディレクトリの ACL を使用することです。

JR

答え4

個人的には、これは技術的な問題ではなく、ポリシーの問題だと考えています。ユーザーがセッション マップされたドライブの外部に書き込むと、どのような「悪い」ことが起こっても、その問題についてユーザーに通知し、教育し、楽しませ、そのようなことを行わないようにする必要があります。ユーザーがそのようなことをしても、大惨事にはならないはずです。ある程度不便なだけです。


ユーザーがターミナル サーバーにログオンするときにのみ適用されるグループ ポリシーを追加し、それに応じてアクセス許可を調整できる必要があります。

おそらく、ターミナル サーバーをグループに追加し、問題の UNC パスに対するアクセス許可が拒否されたグループを追加し、そのポリシーのループバック処理をオンにするのでしょうか? テストせずにそれが機能するかどうかはわかりませんが、残念ながら...

UI の一部を削除して問題を防ごうとするのは、簡単に回避されてしまうことが多いため、ほとんどの場合、悪い考えです。また、UNC は Windows ネットワークの基礎であるため、そのサポートを削除すると、ホーム フォルダーなどを含むすべてのネットワーク共有/プリンター/アドレス指定機能が削除されることになります。

関連情報