Это самый правильный вариант - разрешать запуск программ только оттуда, где пользователь не имеет прав на запись. К тому же защитит от запуска криптолокера или подобного
Илья Бражников: А в чём его киллер-фича по сравнению с дистрами тех же редхат(rhel) и новелл(suse), у которых свои графические компоненты настройки сервера?
mrbaskus: Дело в том, что thinstation 5 работает с конфигами следующим образом:
1. Если при сборке в build.conf выключен пакет ts-classic, то при загрузке будут использованы локальные конфиги (thinstation.conf.buildtime - общий конфиг, настраиваемый перед сборкой, thinstation.conf.user - конфиг, который при необходимости переопределяет параметры общего конфига)
2. Если включен ts-classic и заданы некоторые доп. параметры в конфиге (habrahabr.ru/post/221513/), то ts будет вести себя так, как вела себя версия 2.Х:
а) При загрузке от dhcp получаем опцию next-server с адресом tftp-сервера. Если ничего нет, то грузимся с локальных конфигов (.buildtime, .user)
б) Идём на tftp сервер и по пути "param basepath", указанному в build.conf ищем конфиги с именем "param basename".conf.* (также указанному в build.conf)
Последовательность поиска сетевых конфигов:
thinstation.conf.network -> thinstation.hosts -> thinstation.conf.group-* -> thinstation.conf-"имя из .hosts"
Затем ищется уже локальный thinstation.conf.user
Какую сборку используете? Может, она собрана без пакета freerdp? Точно thinstation.conf.network загружается, а не какой-нибудь thinstation.conf.buildtime?
Денис Сечин: Конечно. Если дать серверу белый IP/пробросить NAT, добавить запись MX (и желательно SPF) на DNS. Это относится и к другим почтовым серверам
inuboh: Член группы "Пользователи" не имеет прав на запись в системные каталоги, в т.ч. Program Files, но может ставить софт в свою домашнюю директорию (C:\users\%username%\AppData\Local).
Когда установщик спрашивает: "Установить для всех" или "Установить только для меня", то в первом случае установка происходит в Program Files, а во втором случае в AppData.
Поэтому чтобы запретить пользователю устанавливать софт, надо запрещать запись в AppData, что нереализуемо, т.к. туда пишется много чего от работающего софта.
Следовательно подходящим решением будет запрет запуска любых исполняемых файлов, кроме доверенных через групповые политики (копать в сторону "политик ограниченного использования программ") habrahabr.ru/post/101971
Оу! Увидел "Free4NAS" в вопросе.
В таком случае, если цель - чтобы работало и легко настраивалось, то однозначно сборка. А раз уж сборка, то зачем менять шило на мыло и искать какие-то другие дистрибутивы с тем же функционалом, если существующая и так работает стабильно?
Так что, имхо, nas4free и не заморачиваться.
