我们正在尝试锁定终端服务器,并希望删除商业软件包接受 UNC 文件路径的能力,即应用程序中的路径只能使用 Windows 驱动器号输入。
在 Windows 中有什么方法可以做到这一点吗?
我们可以只禁止应用程序的 UNC 路径吗?
我们可以禁止整个终端服务器会话使用 UNC 路径吗?
目的是允许应用程序仅写入某些目录(如终端服务器会话中映射的目录)。目的是防止将文件输出到用户有权访问但未在终端服务器会话中映射的目录。
答案1
在内部(在 Windows 代码中),驱动器号只不过是 UNC 路径的包装器。这说明您所问的问题是不可能的。
答案2
此论坛帖子似乎意味着设置组策略“从开始菜单中删除运行菜单”在使用通用打开和保存对话框的应用程序中禁止使用 UNC 路径。
但是,我不建议这样做。几乎肯定有办法绕过此策略,特别是如果你允许执行任意代码。
答案3
有趣的问题。我 99% 肯定答案是“否”,因为我从未遇到过这样的事情。UNC 名称比网络驱动器号更“基本”,因此如果可以禁用它们,我会感到非常惊讶,或者至少不能不采取一些黑客手段(例如将服务器放入具有错误 IP 地址的 lmhosts 文件中)。
控制访问的方式是通过共享或共享后面的目录上的 ACL。
JR
答案4
我个人认为这是一个政策问题,而不是技术问题。无论用户在会话映射驱动器之外写入时会发生什么“坏事”,您都需要告知、教育和娱乐他们当前的问题,并让他们不要这样做。如果他们这样做,不会造成灾难性的后果,不是吗?只是在某种程度上不方便而已?
您应该能够添加仅适用于用户登录终端服务器时的用户的组策略 - 您可以以某种方式相应地调整权限。
也许可以将终端服务器添加到一个组中,添加该组并拒绝相关 unc 路径的权限,然后为该策略打开环回处理?不确定在没有测试的情况下是否可行,但可惜……
试图通过删除部分 UI 来阻止某些东西大多是一个坏主意,因为它太容易被规避 - 并且 UNC 是 Windows 网络的基础,因此删除对它的支持意味着删除所有网络共享/打印机/寻址功能,包括主文件夹和内容。