我們正在嘗試鎖定終端伺服器,並希望刪除商業軟體包接受 UNC 檔案路徑的能力,即。然後只能使用 Windows 磁碟機代號輸入應用程式中的路徑。
在Windows中有什麼辦法可以做到這一點嗎?
我們可以只禁止應用程式使用 UNC 路徑嗎?
我們可以禁止整個終端伺服器會話使用 UNC 路徑嗎?
目的是允許應用程式僅寫入某些目錄(如終端伺服器會話中映射的目錄)。目的是防止檔案輸出到使用者有權存取但未對應到終端伺服器會話中的目錄。
答案1
在內部(在 Windows 程式碼中),磁碟機號碼只不過是 UNC 路徑的包裝。這對我來說表明你所要求的是不可能的。
答案2
這個論壇貼文似乎暗示設定組策略“從開始功能表中刪除運行選單”禁止在使用通用對話方塊進行「開啟」和「儲存」的應用程式中使用 UNC 路徑。
不過,我建議不要採取這種做法。幾乎可以肯定有一些方法可以繞過這個策略,特別是如果您允許執行任意程式碼。
答案3
有趣的問題。我99%肯定答案是否定的,因為我從來沒有遇過這樣的事情。 UNC 名稱比網路磁碟機號碼更“基本”,因此如果它們可以停用,或者至少在沒有一些駭客攻擊的情況下(例如,將伺服器放入具有錯誤IP 位址的lmhosts 檔案中),我會感到非常驚訝。
控制存取的方法是透過共用或共用後面的目錄上的 ACL。
JR
答案4
我個人認為這是政策問題而不是技術問題。如果使用者在會話映射驅動器之外寫入,無論發生什麼「壞」事情 - 您都需要告知、教育和娛樂他們當前的問題,並讓他們不要這樣做。如果他們這樣做的話,不會是災難性的,不是嗎?只是某種程度上不方便嗎?
您應該能夠添加僅在使用者登入終端伺服器時適用的群組原則 - 您可以在其中以某種方式相應地調整權限。
也許可以透過將終端伺服器新增到一個群組中,在相關的 unc 路徑上新增具有拒絕權限的群組,然後開啟該策略的環回處理?如果不測試的話不確定這是否有效,但是唉......
試圖透過刪除部分UI 來阻止某些事情在很大程度上是一個壞主意,因為它通常很容易被規避- 而且UNC 是Windows 網路的基礎,因此刪除對它的支援意味著刪除所有網路共用/印表機/尋址功能,包括主資料夾和東西。