terminal services rettigheder

Du har fat i det rigtige. Du "lukker" brugernes rettigheder ned via en GPO og tildeler dem de "korrekte" drev via et loginscript:

Jeg ynder at kalde dette for "Terminal User Lockdown"... Det som du umiddelbart efterspørger ligger her i Group Policy Management:
User Configuration\Administrative Templates\Windows Components\Windows Explorer\-> "Hide these specified drivers in my computer"

Scriptet kan du (er som regel best practice) ligge i samme gpo:
User Configuration\Windows Settings\Scripts\Logon\"Dit scipt... vbs, .bat, .cmd osv".

Jeg ynder f.eks. at lukke ned for adgang til lokale drev, dvs. a, b, c, d og omdirigere brugerne til et drev som ligner og hedder deres eget i det "rigtige" miljø f.eks. H-drev osv...

Spørg gerne hvis du skulle have yderligere spørgsmål ;-)

NB: Husk også at lukke ned (styrer) andre ting, såsom hvorledes skal deres Internet Explorer se ud osv.

A-hA! Smart. Men hvis jeg gerne vil tildele nogle brugere adgang til F drevet, mens andre både skal have adgang til F og P.. hvordan klarer vi så den ? Fordi hvis jeg skjuler P, så er der jo ingen der kan se det..

Hmm jeg tror at du har misforstået gpo'en lidt. Det som du skjuler er det fysiske drev i terminal serveren...

F.eks. din terminal server har følgende fysiske drev:
a-drev (floppy)
c-drev (lokal drev)
d-drev (cd-rom)
e-drev (data partion eller anden fysisk hd.)

Her bør du så definere i GPO'en at den skal skjule a,c,d og e-drevet. Dernæst opretter du et share på e-drevet, som f.eks. hedder TSdata og i dit loginscript mapper du så TSdata således at dine brugere får tildelt et "virtuelt data drev" (jævnfør tidligere nævnt gpo)

NB: Man bør ALDRIG give brugerne adgang til nogen fysiske drev på server, heller ikke en terminal server. Brugernes data SKAL altid ligge i en dertil oprettet mappe som du så kan dele/share og pålægge specifikke NTFS rettigheder...

Ahh okay, og så laver jeg bare et login script kun til TS brugere. ?

Jep helt korrekt, det er normalt den måde man kører en terminal server på, altså at have et separat (terminal server login script), som kun kører til de personer som pålogger terminal serveren... ;-)

Okay! Nice, tak for hjælpen! du kan bare besvare..

Håber at du kommer videre med projektet ;->