Control de acceso a disco: Restricción y ocultación de uds
Para delimitar el acceso que los usuarios remotos tengan a los discos del servidor, le sugerimos la estrategia de mapear una unidad para cada una de las ubicaciones que desee permitir a sus usuarios, a la vez que a través de TSplus Advanced Security Ultimate, se ocultan y restringen todas las demás. Este método es compatible con servidores TSplus basados en Windows de escritorio y sin directorio activo.
Mapeo de unidades
- Cree un fichero cmd con el siguiente modelo de línea:
subst letra_ud: “ruta_carpeta”
Por ejemplo, para que los usuarios tengan acceso únicamente a sus respectivos escritorios a través de Z:
subst Z: “C:\Users\%USERNAME%\desktop”
Para mapear varias unidades, añada tantas líneas como necesite. - Configure el cmd como script de inicio, agregándolo en la siguiente directiva:
Configuración de usuario > Configuración de Windows > Scripts (inicio de sesión o cierre de sesión) > Iniciar sesión
- Para evitar un retardo en la ejecución del script, deberá configurar la siguiente directiva:
Configuración del equipo > Plantillas administrativas > Sistema > Directiva de grupo > Configurar retraso de script de inicio de sesión
Para una ejecución inmediata, deshabilítela o ajústela a cero.
Ocultación y/o restricción de unidades
Para ello se utilizará el módulo Secure Desktops del complemento de seguridad TSplus Advanced Security Ultimate. Supongamos que queremos configurar el acceso del grupo “Comercial”, y que los usuarios de este grupo solo deben acceder a la unidad Z.
- Consola > Secure Desktops:
- Pulse en “Configurado para este usuario/grupo” y seleccione el Modo Kiosko (máximo nivel de restricción):
- A partir de ese modo, puede configurar cada restricción por separado. En este caso nos centraremos en la pestaña “Control de Discos”, ocultando y restringiendo todas las unidades excepto Z:
Publicación de accesos permitidos en TSplus
Para aquellos usuarios que tengan asignado el escritorio completo (“Microsoft Remote Desktop”), tiene la opción de publicar y asignar (además) el/los accesos permitidos. De esa forma, los tendrán disponibles como accesos directos en su escritorio. Sin embargo, para aquellos usuarios que tengan asignadas una o más aplicaciones concretas (sin acceso al escritorio), será necesario hacerlo. Para ello, publique el explorador de Windows apuntando a las carpetas permitidas:
- AdminTool > Applications > Publish
- Haga clic en “Add Application”.
- Localice y seleccione C:\Windows\explorer.exe
- Nombre adecuadamente la aplicación.
- Escriba la ruta de la carpeta que desea publicar, por ejemplo X:\Comercial
- Haga clic para guardar cambios.
- Repita el proceso y publique tantos “explorer.exe” como carpetas para las que necesite conceder acceso.
- Asigne el/los “explorer.exe” a los usuarios/grupos que corresponda.
