Как выдать нужные права RDP-пользователю?

Question

[BigCrazyCat]

Windows Server 2012 R2.
Задача такова:
1) Выдать доступ пользователю к одному каталогу + подкаталоги.
2) Выдать доступ на запуск нескольких программ.
3) Запретить просмотр информации о системи, редактирование каких-либо параметров в панели управление и т.д.
То есть, создать рабочую среду для работы с кодом, БД.
Буду благодарен за ссылки на руководства, если таковы существуют.

Answer 1

[res2001]

Дайте пользователю права простого пользователя. Обычно этого хватает в 95% случаев.
1.Права на каталоги назначаются стандартным способом.
2.В групповых политиках есть соответствующие настройки.
3.На сколько я помню, если задать соответствующие настройки через групповые политики, то пользователь сам не сможет их менять.
Вообще пункт 3 сомнительный. Не знаю зачем это было бы реально нужно.
В пункте 2 так же большие сомнения - может проще не устанавливать на сервер тех программ, которые нельзя запускать? С ограниченными правами стандартными средствами пользователь не сможет повредить систему.

Comments

[BigCrazyCat]

Пользователь должен видеть только свою папку.

[BigCrazyCat]

Еще бы как-то автоматизировать процесс выдачи прав. Батником, к примеру.

[res2001]

BigCrazyCat: можно и автоматизировать: есть утилита cacls с безумным синтаксисом.
Но это лишнее - пользуйтесь группами - одни раз назначаете права группе, а потом просто включаете пользователей в нужные группы. Никаких назначений дальше.

[res2001]

Видеть только свою папку пользователь не сможет - все равно останутся Windows, Program Files, Users от них вы никак не избавитесь. Но пользователю туда нет доступа на запись (кроме папки со своим профилем).
Так же рекомендую установить ограничение на запись для пользователей на все диски (т.е. на корень диска) и убрать там же разрешение для "прошедших проверку", если оно есть.
На счет видимости других папок: есть дополнительное разрешение "Содержание папки" попробуйте им поиграться. Но думаю - ничего не получится, т.к. чтобы запретить видеть саму папку (а не ее содержимое) нужно запретить это разрешение у папки верхнего уровня, имхо.

[BigCrazyCat]

res2001: Спасибо. Попробую.