Ситуация такая:
Есть контроллер домена, есть сервер с 1С, включённый в домен. На нём ничего больше нет. Из другого региона к нему по РДП подключаются спецы по 1С и чего-то там шуруют. В нашу сеть они попасть не могут, т.к. у них свой пароль к этому компу, а на остальные ресурсы сети - другой.
Сейчас я поставил новый сервер 2008 х64 и хочу на него перетащить 1С с базами. На нем будет уже не только 1С но и всякие наши рабочие файлы и папки.
Так вот сама проблема такая. Как сделать так, чтобы \ти иногородние спецы подключаясь по РДП уже к новому серверу видели только папку с базами 1С + могли запускать саму 1С-ку и больше ничего? Т.е. как будто на серваке больше ничего нет, только рабочий стол на котором ярлык для запуска 1С + папка с базами и всё.

А в чём проблема? Создаётся группа в AD, ей даются соответствующие права, в эту группу включаются соответствующие пользователи.

Совершенно верно, RDP-пользователь не должен иметь доступа к данным папкам на новом сервере. Вот собственно и все.

Проблема в том, чтобы челы, заходя по РДП, видели раб. стол, на котором только то, что есть на диске, скажем D:, на котором установлена 1С, её базы и прочее, что им нужно (фтп-клиент, far etc..) и не более того.
А если я пропишу в АД права, то они, по идее, увидят, что ещё есть на серваке, только попасть туда не смогут.

Нужно поставить ABE (Access Based Enumeration) http://blogs.technet.com/b/aralves/archive/2007/09/20/windows-server-2008-access-based-enumeration.aspx тогда пользователи будут видеть только то, к чему есть доступ.

не понимаю, зачем им вообще видеть рабочий стол: в свойствах пользователя указать запуск 1С с нужной базой

icelex, я выше написал, что они еще выгруженные базы отправляют себе по фтп, соотв. запускают либо фар либо фтп-клиент.
Olgierd, спасибо, похоже то, что нужно, буду пробовать.

UPD: Похоже, что, ABE не поможет, т.к. он не сработает в случае получения списка общих папок с сервера (вы ВСЕГДА видите все общие папки на сервере; ABE контролирует список содержимого ВНУТРИ общей папки).
А челы попадут же прямо на сервер :(

эммм... я может сейчас ляпну глупость, а почему бы специально для них не поднять виртуальную машину? и пускай они делают с ней все что хотят. а синхронизировать виртуалку с железом явно будет проще.

А виртуалка ресурсов много жрёт? Сервак не будет тормозить?

Если много RAM и ядер, не должна.

А виртуалка ресурсов много жрёт? Сервак не будет тормозить?
а конфигурация сервера какая?

Подробно не помню, проц Ксеон 2,4 ГГц вроде, 8Гб ОЗУ, 8 винчей по 500 в раиде...

Должно работать нормально. Но, зависит конечно же от загрузки.

откинь 512-1024 рамы на виртуалку. по процу - как нагрузят и как настроишь. в простое (между работой 1ц прогов) оно считай ничего не жрет....

не понимаю, зачем им вообще видеть рабочий стол: в свойствах пользователя указать запуск 1С с нужной базой
... А также режим ее запуска, имя пользователя и т.п.? Вы хоть спросите, для чего заходят. Может они ее обслуживают, и им хотя бы папка, куда поместить обновления, нужна. Плюс локальные админские права для установки этих самых обновлений.

эммм... я может сейчас ляпну глупость, а почему бы специально для них не поднять виртуальную машину? и пускай они делают с ней все что хотят. а синхронизировать виртуалку с железом явно будет проще.
Почему глупость - у меня так, очень устраивает. Только учтите, что 1с к памяти очень требовательна. Из 16-ти имеющихся гигов 8 под виртуалку с 1с отдано. Какому-н контроллеру домена, как вы понимаете, столько не нужно

... А также режим ее запуска, имя пользователя и т.п.? Вы хоть спросите, для чего заходят. Может они ее обслуживают, и им хотя бы папка, куда поместить обновления, нужна. Плюс локальные админские права для установки этих самых обновлений.

заходят обновлять/работать с базой 1Ц
если они постоянно не прикручивают фичи типа внешних библиотек то права локального админа им ненужны. 99% разрабам они в пень не упали.

Да, они устанавливают обновления, выгружают базу и себе на фтп её отправляют, так что скрипт с принудительным отключением эксплорера и автозапуском 1С не прокатит.
Блин, неужели нет какой-нть может сторонней софтины для расшаривания диска или папки как рабочий стол?

На нем будет уже не только 1С но и всякие наши рабочие файлы и папки.
Может вот от этого уйти как-то? Зачем усложнять схему сторонним софтом? 1С - штука ответственная, вот пусть себе на отдельной машинке и крутится. Либо все-таки ввести машину в домен и уже его средствами оперировать. У удаленщиков, насколько я понимаю, права локальных пользователей ведь? В любом случае, я бы либо убирал эти папки, либо стандартными средствами выкручивался, но схему усложнять, ИМХО, неправильно

subst (http://ru.wikipedia.org/wiki/Subst) ?

Баши-Бузук, машина и так в домене.
Остановлюсь, наверное, на варианте - РДП к другому компу с 1С, а не к новому серверу + ABE, чтобы лишнего не видели.
Если делать виртуалку, то для неё лицензий нужны какие-нть покупать? У меня весь софт лицензионный.

Конечно нужно. Все по полной программе, система, терминальный сервер, лицензии на использование приложений в терминале.

точчнее виртуалка вроде как есть бесплатная какая то (непомну щя её название) а вот на весь софт и винду который там будет крутится надо такие же лицензии как и на обычную машину.