Removendo a barra de endereço ou ocultando seu conteúdo do Windows Explorer - Windows Server 2008 R2

tag-icon tag-icon security windows-server-2008-r2 group-policy windows-registry
Removendo a barra de endereço ou ocultando seu conteúdo do Windows Explorer - Windows Server 2008 R2

No momento, estou tentando encontrar um GPO ou uma edição de registro que possa remover a barra de endereço do Windows Explorer ou impedir que a barra exiba o caminho UNC completo. O ambiente atual tem restrições totais na unidade C:\, bem como nos compartilhamentos de rede. No entanto, a única "brecha de segurança" que encontrei é que os usuários têm acesso total aos perfis de roaming de outros usuários. Isto é, se eles forem inteligentes o suficiente para usar variáveis ​​de ambiente para navegar até suas pastas de perfil e, portanto, exibir o caminho UNC completo do compartilhamento. Se o pior acontecer, eu sempre poderia ativar a entrada do GPO abaixo, mas ativá-la apenas cria enormes dores de cabeça para o administrador, já que a política remove as permissões de herança mesmo quando está Add the Administrator security Group to roaming user profilesativada

User Config>Policies>Windows Settings>Folder Redirection>Documents>Options
Grant user exclusive rights to Documents

Eu também tentei fazer a seguinte modificação no registro comsem sorte.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
"ITBar7Layout"=hex:11,00,00,00,4c,00,00,00,00,00,00,00,34,00,00,00,19,00,00,00,\
  40,00,00,00,01,00,00,00,20,07,00,00,a0,0f,00,00,05,00,00,00,62,05,00,00,26,\
  00,00,00,02,00,00,00,21,07,00,00,a0,0f,00,00,04,00,00,00,29,05,00,00,a0,0f,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"ITBar7Layout"=hex:11,00,00,00,4c,00,00,00,00,00,00,00,34,00,00,00,19,00,00,00,\
  40,00,00,00,01,00,00,00,20,07,00,00,a0,0f,00,00,05,00,00,00,62,05,00,00,26,\
  00,00,00,02,00,00,00,21,07,00,00,a0,0f,00,00,04,00,00,00,29,05,00,00,a0,0f,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

Qualquer outra sugestão sobre o que fazer será muito apreciada. -Obrigado

Responder1

Como você já sabe que deveria usar...

User Config>Policies>Windows Settings>Folder Redirection>Documents>Options > Grant user exclusive rights to Documents

... então suas únicas opções sãofaça certo, criando POTENCIALMENTE alguma dor de cabeça de administrador/gerenciamento, ou continue tentando encontrar maneiras de ocultar o caminho UNC. Não há nenhum, vou deixar você saber disso agora, mas você pode continuar tentando.

A outra questão que você não conseguiu pensar ao tentar ocultar UNCs é que os usuários também podem fazer Arquivo> Salvar como, que também exibe caminhos UNC. Tenho certeza de que existem mais maneiras além das duas mencionadas aqui, mas isso acabou de me ocorrer e sei que você não pode escondê-las aí; eles foram projetados para serem vistos.

Eu realmente sinto muito se isso soa como ousado, mas você já sabe a resposta para sua pergunta, infelizmente.

Responder2

@RHQ - Seu comentário ao NathanC sobre permissões está incorreto. Eu uso perfis móveis há 10 anos e nunca dei ao grupo Usuários Autenticados acesso ao compartilhamento de perfil móvel. É assim que as permissões devem ser configuradas:http://technet.microsoft.com/en-us/library/cc737633(v=ws.10).aspx

Aqui estão duas capturas de tela do meu ambiente. A primeira é uma captura de tela que mostra as permissões efetivas que meu grupo de usuários possui na pasta raiz. A segunda é uma captura de tela da minha pasta de perfil móvel. Você verá que nem meu grupo de usuários (Clientes) nem o grupo Usuários Autenticados têm permissões na minha pasta de perfil móvel. Apenas minha conta de usuário, Sistema e Administrador têm permissões.

insira a descrição da imagem aqui

insira a descrição da imagem aqui

informação relacionada