Wir versuchen, einen Terminalserver zu sperren, und möchten einem kommerziellen Paket die Möglichkeit entziehen, UNC-Dateipfade zu akzeptieren, d. h. Pfade in der App können dann nur mit den Windows-Laufwerksbuchstaben eingegeben werden.
Gibt es eine Möglichkeit, dies unter Windows zu tun?
Können wir UNC-Pfade nur für die App verbieten?
Können wir UNC-Pfade für die gesamte Terminalserversitzung verbieten?
Die Absicht besteht darin, der Anwendung nur das Schreiben in bestimmte Verzeichnisse (wie in der Terminalserversitzung zugeordnet) zu erlauben. Ziel ist es, die Ausgabe von Dateien in Verzeichnisse zu verhindern, auf die die Benutzer Zugriff haben, die jedoch in der Terminalserversitzung nicht zugeordnet sind.
Antwort1
Intern (im Windows-Code) ist ein Laufwerksbuchstabe nichts anderes als ein Wrapper für einen UNC-Pfad. Das lässt mich vermuten, dass Ihre Frage nicht möglich ist.
Antwort2
Dieser Forumsbeitragscheint zu bedeuten, dass die Gruppenrichtlinie„Ausführen-Menü aus dem Startmenü entfernen“deaktiviert die Verwendung von UNC-Pfaden in Anwendungen, die die gemeinsamen Dialoge zum Öffnen und Speichern verwenden.
Ich rate jedoch von dieser Vorgehensweise ab. Es gibt mit ziemlicher Sicherheit Möglichkeiten, diese Richtlinie zu umgehen, insbesondere wenn Sie die Ausführung beliebigen Codes zulassen.
Antwort3
Interessante Frage. Ich bin mir zu 99 % sicher, dass die Antwort „nein“ ist, da mir so etwas noch nie untergekommen ist. UNC-Namen sind „grundlegender“ als Netzwerklaufwerksbuchstaben, daher wäre ich sehr überrascht, wenn man sie deaktivieren könnte, oder zumindest nicht ohne etwas Hacking (z. B. indem man Server mit der falschen IP-Adresse in die lmhosts-Datei einträgt).
Die Zugriffskontrolle erfolgt über ACLs auf den Freigaben oder den Verzeichnissen hinter der Freigabe.
JR
Antwort4
Persönlich würde ich das als eine politische und keine technische Frage betrachten. Was auch immer für „schlechte“ Dinge passieren, wenn der Benutzer außerhalb der Sitzungslaufwerke schreibt – Sie müssen ihn über das vorliegende Problem informieren, aufklären und unterhalten und ihn dazu bringen, das nicht zu tun. Es kann doch nicht katastrophal sein, wenn er das tut, oder? Nur bis zu einem gewissen Grad unbequem?
Sie sollten die Möglichkeit haben, eine Gruppenrichtlinie hinzuzufügen, die nur für den Benutzer gilt, wenn er sich bei einem Terminalserver anmeldet – in der Sie die Berechtigungen irgendwie entsprechend anpassen.
Vielleicht indem man die Terminalserver zu einer Gruppe hinzufügt, diese Gruppe mit verweigerten Berechtigungen für die betreffenden UNC-Pfade hinzufügt und die Loopback-Verarbeitung für diese Richtlinie aktiviert? Ich bin mir nicht sicher, ob das ohne Testen genau funktionieren würde, aber leider ...
Der Versuch, Dinge durch das Entfernen von Teilen der Benutzeroberfläche zu verhindern, ist meistens keine gute Idee, da diese Vorgehensweise allzu oft leicht umgangen werden kann. Außerdem ist UNC die Grundlage eines Windows-Netzwerks. Die Entfernung der Unterstützung dafür würde also bedeuten, dass sämtliche Netzwerkfreigabe-/Drucker-/Adressierungsfunktionen einschließlich Home-Ordnern und dergleichen entfernt würden.