Windows server 2008 r2 скрыть диски от пользователей

Задача: убрать из проводника некоторые диски, чтобы простые пользователи не видели их в окне Мой компьютер, желательно через групповые политики.

Здесь я выложу инструкцию как убрать диски из explorer через реестр и через GPO.

1. Через реестр
2. Через групповые политики
3. Универсальный комбинированный способ

Способ №1. Прячем локальные диски на компьютере через реестр

Открываем реестр, идём в ветку HREY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer, надо создать параметр REG_DWORD с именем NoDrives. Установите следующие значения для скрытия дисков (значения в шестнадцатеричной системе):

A:+B: = 3
C: = 4
D: = 8
E: = 10
F: = 20
A+B+C=7
A+B+D=b
A+B+E=13
A+B+F=23
C+D=c
D+E=18 и т.д.

Скрыть все значки = 0x03ffffff

Скрытие значков дисков в окне Мой компьютер и Проводник

Если вы хотите скрыть значки дисков в окне Мой компьютер и Проводник, то откройте раздел
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplоrer
и создайте параметр NoDrives типа DWORD с требуемым значением. Также будут скрыты эти значки и в стандартных окнах Открытия и Сохранения файлов. Тем не менее, пользователь по-прежнему имеет доступ к этим дискам (через команду Выполнить или печатая вручную адрес в адресной строке Проводника)

Данный параметр является набором битовых флагов. Каждый бит соответствует одному из 26 возможных имен дисков. Каждому диску присваиваются значения (hex): A -1; B — 2; C — 4 и т.д. Чтобы скрыть нужные вам диски, нужно сложить эти биты. Сложность состоит в переводе двоичного значения в шестнадцатеричное. Здесь приводится небольшой список возможных значений:

• 0x03FFFFFF Скрывает все значки
• 0x3 Скрывает только диски A и B
• 0x4 Скрывает только диск C
• 0x8 Скрывает только диск D
• 0x7 Скрывает только диски A, B и C
• 0xF Скрывает только диски A, B, C и D
• 0x0 Видны все диски

Можно использовать и десятичную систему. Смотри совет ниже.

Запрет на доступ к содержимому выбранных дисков

Можно не скрывать сами значки дисков, но запретить пользователю доступ к файлам заданных дисков через Проводник, Мой компьютер, Выполнить или команду Dir. Откройте реестр и создайте параметр NoViewOnDrive типа DWORD в разделе
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
содержащий битовую маску для дисков. Например, диск A имеет бит 1, диск С — 4, диск D — 8. Таким образом, чтобы скрыть диски A и D, нужно сложить их значения 1 (A) + 8 (D) и установить значение 9.

Список всех дисков: A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216, Z: 33554432, Все диски: 67108863

инфу скопировал отсюда: http://forum.oszone.net/thread-297516.html

Способ №2. Скрываем диски через групповые политики

1. Заходим в управление групповой политикой
2. Конфигурация пользователя
3. Административные шаблоны
4. Компоненты Windows
5. Проводник
6. Открываем политику: Скрыть выбранные диски из окна Мой компьютер
7. Ставим значение включено и выбираем параметр

Но вот засада: стандартная политика умеет скрывать только стандартные диски или все сразу. Если оно вам и было надо, отлично. Мне же требовалось скрыть диск Z, а для этого надо пойти другим путём, а поэтому…

Способ №3. Комбинированный способ: GPO + реестр

1. Также открываем групповые политики
2. Конфигурация пользователя
3. Настройка
4. Конфигурация Windows
5. Реестр
6. Правой кнопкой мышки на пустом месте, далее Создать — Элемент реестра

И тут прописываем следующие параметры. Продублирую текстом: Куст HKEY_CURRENT_USER, Путь раздела SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer, Имя параметра NoDrives, Тип параметра REG_DWORD, значение для скрытия диска Z 33554432. Для других дисков считаем значение по правилу из способа №1

Этот способ оказался идеальным, я скрыл только требуемые диски у группы пользователей. Применяем политику через gpupdate /force и проверяем!

Серверы сеансов Remote Desktop Services (RDS) — это многопользовательские среды, для которых, как правило, требуется максимально жёсткая настройка пользовательского окружения. Говоря простым языком, – чем у пользователей меньше отвлекающих «буцок», не имеющих прямого отношения к выполняемым ими задачам, – тем лучше и для администратора, и для них самих в конечном итоге. Здесь мы рассмотрим пример настройки некоторых элементов пользовательского интерфейса по следующим позициям:
— Отключаем отображение Favorites, Libraries и Network
— Скрываем излишние папки в профиле пользователя
— Отключаем мастер добавления сетевых расположений
— Скрываем локальные диски сервера
— Сворачиваем ленту при запуске Windows Explorer
— Включаем отображение расширений файлов
— Ограничиваем набор апплетов в Панели управления
— Настраиваем панель задач (TaskBar)
— Заменяем картинку пользователя по умолчанию
— Настраиваем стартовый экран Windows
— Создаём групповую политику переопределений для администраторов

Отключаем отображение Favorites, Libraries и Network

Для того чтобы скрыть элементы Favorites, Libraries и Network из панели навигации Windows Explorer нужно изменить значения соответствующих трёх параметров системного реестра.

Отключить отображение Favorites:
HKEY_CLASSES_ROOTCLSID{323CA680-C24D-4099-B94D-446DD2D7249E}ShellFolder
Поменять значение параметра Attributes с a0900100 на a9400100

Отключить отображение Libraries:
HKEY_CLASSES_ROOTCLSID{031E4825-7B94-4dc3-B131-E946B44C8DD5}ShellFolder
Поменять значение параметра Attributes с b080010d на b090010d

Отключить отображение Network:
HKEY_CLASSES_ROOTCLSID{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}ShellFolder
Поменять значение параметра Attributes с b0040064 на b0940064

Выполнить изменения этих параметров можно например с помощью Group Policy Preferences (GPP), создав в групповой политике применяемой к серверам RDS соответствующие настройки GPP в разделе
Computer ConfigurationPreferencesWindows SettingsRegistry

При желании можно для применения данного ключа реестра настроить Item-level targeting (ITL) на семейство ОС – Windows Server 2012 Family. Проблема с применением перечисленных параметров реестра заключается в лишь том, что по умолчанию к родительским ключам этих параметров для пользователя SYSTEM предоставлен доступ только на чтение, и без добавления права на редактирование наши параметры GPP применены не будут.

Учитывая то, что владельцем этих ключей является SYSTEM, нам потребуется от имени этого пользователя запустить редактор реестра и добавить права на редактирование. Запустить редактор реестра от имени системы (SYSTEM) можно, например, с помощью утилиты PsExec.exe из состава Sysinternals PsTools командой

PsExec.exe /i /s regedit

Скрываем излишние папки в профиле пользователя

По умолчанию в паке пользователя отображается ряд папок которые на серверах RDS в жёстко ограничиваемом пользовательском пространстве можно считать избыточными и нам желательно сократить их количество до необходимого минимума. Для достижения этой цели можно пойти разными путями:

— Изменить атрибуты папок (или удалить эти папки вообще) в профиле по умолчанию который используется системой при создании новых профилей C:UsersDefault

— Изменять атрибуты этих папок в уже созданных профилях при каждом входе пользователя в систему или же удалять эти папки в уже существующих профилях.

Первый путь мы не будем рассматривать, так как он не эффективен с точки зрения того, что затрагивает только вновь создаваемые профили, но не модифицирует уже существующие. Второй путь возможен в разных вариациях (выбирайте на вкус):

***

А) Вариант с использованием логон-скрипта обрабатываемого системой при входе пользователя, в котором для всех нужных папок добавлены конструкции типа:

attrib +r +s +h "%USERNAME%Saved Games" /S /D

Такая конструкция добавит атрибуты “Скрытый” и “Системный” к указанной папке. Добавление атрибута “Системный” позволит нам спрятать указанные папки действительно во всех диалоговых окнах Windows Explorer, чего нельзя добиться при использовании только атрибута “Скрытый”.

Информацию о том, как при необходимости добавить собственный логон-скрипт на сервер RDS можно найти в заметке Windows Server 2008 R2 – Добавление скриптов входа на сервере RDS через ключ реестра AppSetup

***

Б) Вариант удаления нежелательных папок в уже существующих профилях. Можно воспользоваться логон-скриптами в случае если нужна сложная логика проверки наличия в этих папках какого-либо пользовательского контента. Если же точно известно, что в профилях пользователей в этих папках ничего нет, то можно использовать для жёсткого удаления этих папок механизмы GPP в разделе
User ConfigurationPreferencesWindows SettingsFolders

При создании настройки GPP для операции удаления файлов/папок в пользовательском профиле обязательно включать параметр выполнения задачи в контексте пользователя – Run in logged-on user’s security context (user policy option) на закладке Common

Для удаляемых GPP папок также нужно не забыть отключить для этих папок механизм их перенаправления (Folder Redirection), в противном случае при каждом входе пользователя в систему будет идти противоборство механизмов перенаправления папок и удаления этих же папок через GPP, то есть сначала папки будут создаваться а потом тут же удаляться.

***

B) Третий вариант, самый приемлемый на мой взгляд. Параллельно использованию механизма перенаправления папок с помощью GPP запускать скрипт установки атрибутов “Скрытый” и “Системный” для нужных папок пользователя, то есть и папки останутся целыми и от пользователя мы их скроем. Для этого создадим параметр GPP в разделе User ConfigurationPreferencesWindows SettingsRegistry — строковой параметр реестра REG_SZ с любым именем, например HideUserProfileFolders в ключе HKCUSoftwareMicrosoftWindowsCurrentVersionRun и значением \FileServerRDS_UserSettingsHide-User-Profile-Folders.vbs

Таким образом мы пропишем в автозагрузку пользовательской среды запуск скрипта, расположенного на общедоступном сетевом ресурсе. В теле скрипта будем выполнять проверку на наличие атрибутов “Скрытый” и “Системный” на нужных нам папках и если атрибут не установлен – будем его устанавливать. Пример такого скрипта:

Set WS = CreateObject("WScript.Shell")
Set FS = CreateObject("Scripting.FileSystemObject")

vRootFolder =  WS.ExpandEnvironmentStrings("%RDS_RFOLDERS%") 
vUserName =  WS.ExpandEnvironmentStrings("%USERNAME%")

arrSubFolders = Array("Contacts", "Downloads", "Favorites", "Links","Music", "Saved Games", "Searches", "Videos" )

For i = LBound(arrSubFolders) to UBound(arrSubFolders)
  vPath = vRootFolder + "" +  vUserName + "" +  arrSubFolders(i)

  If FS.FolderExists(vPath) Then
    Set objFolder = FS.GetFolder(vPath) 
    If ((objFolder.Attributes AND 2) = 0) Then
        'Folder Not Hidden
        objFolder.Attributes = objFolder.Attributes + 2
    End If
    If ((objFolder.Attributes AND 4) = 0) Then
        'Folder Not System
       objFolder.Attributes = objFolder.Attributes + 4
    End If

  End If
Next

Дополнительно найти примеры манипуляций с каталогами из VBS можно найти по ссылке ActiveXperts.com — Scripts to manage Folders.

Обратите внимание на то, что в теле скрипта используется переменная окружения %RDS_RFOLDERS%. Так как речь идёт о том, что папки пользователя над атрибутами которых мы собираемся провести изменения, являются перенаправленными (Folder Redirection), то к ним нельзя обратиться просто используя переменную %USERPROFILE%. Вместо этого нужно указать путь к фактическому размещению сетевого каталога для перенаправляемых папок пользователя, и для того чтобы указать этот каталог можно использовать дополнительную переменную в теле самого скрипта, а можно опять-же с помощью GPP создать пользовательскую переменную окружения куда и записать это значение. После этого созданную переменную можно будет использовать как в этом, так и в других скриптах настройки пользовательской среды. Итак, для создания дополнительной пользовательской переменной, создадим параметр GPP в разделе User ConfigurationPreferencesWindows SettingsEnvironment

После применения созданных нами параметров GPP и отработки скрипта при входе пользователя в уже созданный профиль (то есть это не применимо для первого входа в систему с созданием нового профиля), мы получим следующий результат:

Отключаем мастер добавления сетевых расположений

Так как все сетевые ресурсы мы настраиваем в пользовательском окружении централизованно, возможно мы захотим скрыть от пользователя возможность подключения/отключения сетевых дисков, а также запретить вызов мастера добавления сетевых расположений

Для этого достаточно настроить предопределённый параметр GPO
Remove «Map Network Drive» and «Disconnect Network Drive»
в разделах
User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsFile Explorer
Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsFile Explorer

Скрываем локальные диски сервера

Для того чтобы скрыть от пользователей все локальные диски сервера, оставив возможность видеть в Windows Explorer лишь свои перенаправленные диски включим и настроим параметр GPO
Hide these specified drives in My Computer  =  Restrict all drives
в разделе
User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsFile Explorer

В результате применения этой политики мы получим примерно следующий вид:

Сворачиваем ленту при запуске Windows Explorer

Ещё один предопределённый параметр GPO позволит нам настроить запуск новых окон Windows Explorer со свёрнутой лентой (верхней панелью кнопок).
Start File Explorer with ribbon minimized
установим в значение Always open new File Explorer windows with the ribbon minimized
в разделах
User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsFile Explorer
Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsFile Explorer

Несмотря на то что этот же параметр GPO есть в User Configuration, он по какой-то причине подавляется существующим параметром реестра ExplorerRibbonStartsMinimized в ключе HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsExplorer
и это происходит даже не смотря на то, что данная политика в Computer Configuration не настроена. Такое поведение лечится лишь явным отключением этой политики в Computer Configuration, и поэтому особого смысла в этой политике на уровне User Configuration я не вижу и использую её на уровне Computer Configuration

Включаем отображение расширений файлов

Отключаем включенную по умолчанию опцию сокрытия расширений для зарегистрированных типов файлов (Hide extension for known file types).

Для этого создадим параметр GPP в разделе
User ConfigurationPreferencesWindows SettingsRegistry — параметр реестра REG_DWORD с именем HideFileExt и значением 0 в ключе HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
с типом действия Update

Ограничиваем набор апплетов в Панели управления

В панели управления скроем все апплеты кроме тех, которые реально могут понадобиться пользователям с помощью предопределённого параметра GPO
Show only specified Control Panel items в разделе
User ConfigurationPoliciesAdministrative TemplatesControl Panel
В таблице настройки отображаемых значений на всякий случай введём русский и английский вариант имён апплетов Панели управления:

Свойства браузера
Язык
Региональные стандарты
Устройства и принтеры
Internet Options
Language
Region
Devices and Printers

Дополнительно через GPP задаем вид элементов Control Panel в виде маленьких значков через Update двух параметров реестра в ключе:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerControlPanel
AllItemsIconView REG_DWORD = 1
StartupPage REG_DWORD = 1

В результате применения созданных параметров GPO в пользовательском окружении получим следующий вид Панели управления:

Настраиваем панель задач (TaskBar)

Общая методика следующая – сначала настраиваем в текущем профиле пользователя панель задач так, как она должна выглядеть у всех других пользователей, после этого, с помощью механизмов GPP, передаём параметры реестра, отвечающие за хранение настроек TaskBar из текущего профиля в другие.

Итак, сначала мы должны “запилить” TaskBar в текущем профиле до желаемого вида.

Создаём на рабочем столе ярлыки, ссылающиеся на исполняемые файлы. При желании меняем иконки для ярлыков, добавляем в свойства ярлыка Комментарий который будут видеть пользователи при наведении курсора на этот ярлык и т.д. Если необходимо сделать ярлык на какой либо каталог (локальный или сетевой), то ярлык делаем для исполняемого файла C:Windowsexplorer.exe и через пробел добавляем имя каталога который должен открываться этим ярлыком.

Если есть сильное желание создать на панели задач отдельную кнопку свёртывания/развертывания всех окон (не все пользователи знают о самой правой узкой кнопке на панели задач в W8/W2012, которая отвечает за свёртывание/развертывание), то можно использовать следующий шаманский метод..

1. Создаём пустой файл с каким-нибудь диким именем, например nullprogram.exe
2. Делаем ярлык на этот файл, устанавливаем ярлыку имя которое мы хотим получить в результате например «Свернуть все окна.lnk«. В свойствах ярлыка меняем значок на нужный из %windir%system32imageres.dll
3. Закрепляем ярлык на панели задач и удаляем с рабочего стола
4. Копируем ярлык C:Usersимя пользователяAppDataRoamingMicrosoftInternet ExplorerQuick LaunchShows Desktop.lnk в каталог C:Usersимя пользователяAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar и сразу переименовываем этот ярлык в «Свернуть все окна.lnk» (таким образом наш фейковый ярлык будет заменён на правильный)
5. Выполняем Logoff/Logon и проверяем как работает наша кнопка на панели задач.

Есть информация, что аналогично можно проделать и с ярлыком Window Switcher.lnk, но я сам этого не проверял.

Теперь мысли по поводу запуска стартового экрана из панели задач. Ряд пользователей жалуются на то, что им не нравится вызывать стартовый экран с помощью функции активных углов, которая в RDP сессии ведёт себя не всегда вменяемо. А кнопка на панели задач вызывающая этот самый стартовый экран обещана только в следующей версии ОС. Поэтому пришлось немного нагрузить нашего программиста, чтобы он слепил нечто подобное. В итоге мы получили маленький исполняемый файл, который фактически эмулирует нажатие кнопки Windows в результате чего вызывается стартовый экран. Загрузить программу можно со страницы на CodePlex. Скопируем файл Start.exe например в каталог %windir% на все наши сервера RDS и на панели задач закрепим ярлык на него.

***

После того как панель задач настроена нужным образом, копируем в отдельную сетевую папку, доступную на чтение всем пользователям, иконки из профиля пользователя под которым выполняли настройку панели задач из папки 
%AppData%MicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar

Создаем GPP на основе всех параметров реестра в ключе
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerTaskband

Сразу все настроенные параметры реестра оптом легко могут быть вставлены в редактор GPP с помощью мастера импорта реестра  — Registry Wizard

Итого по данной задаче в параметрах GPP в разделе
User ConfigurationPreferencesWindows SettingsRegistry
мы создадим группу параметров где сначала удаляем ключ реестра HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerTaskband и все вложенные в него параметры, а затем заново создаём этот ключ и устанавливаем предопределённо настроенные параметры

Ну и соответственно в параметрах GPP в разделе
User ConfigurationPreferencesWindows SettingsFiles
сначала удаляем все ярлыки из профиля пользователя затем копируем нужные из сетевой папки.

1. Удаление всех файлов *.lnk из профиля пользователя из папки
%AppData%MicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar

2. Копирование из шары всех файлов *.lnk в профиль пользователя в папку
%AppData%MicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar

***

Далее, через пользовательские групповые политики выключим отображение иконок в системном трее.
User ConfigurationPoliciesAdministrative TemplatesStart Menu and Taskbar

***

В конфигурации по умолчанию для панели задач включен самый жесткий режим группировки информации об открытых окнах – Always combine, hide labels

Можно задать единую для всех пользователей настройку группировки в другом варианте, например когда группировка происходит только в том случае, если панель задач заполнена – Combine then taskbar is full. За эту настройку отвечает параметр реестра TaskbarGlomLevel в ключе HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
Создадим в параметрах GPP в разделе
User ConfigurationPreferencesWindows SettingsRegistry
соответствующий параметр реестра

***

В итоге мы должны получить примерно следующий вид панели задач

Заменяем картинку пользователя по умолчанию

По умолчанию в Windows Server 2012 в качестве картинки пользователя установлено изображение «яйцеголового анонимуса».

Если есть желание как-то изменить эту картинку, например придать ей корпоративный стиль, то для этого нужно заменить 6 файлов расположенных сервере в каталоге
%ProgramData%MicrosoftUser Account Pictures
предварительно создав их в следующем формате:

Также можно включить групповую политику
Apply the default account picture to all users в разделе
Computer ConfigurationAdministrative TemplatesControl PanelUser Accounts
после чего заменённые нами изображения будут отображаться для всех вошедших в систему пользователей

Настраиваем стартовый экран Windows

Входим в систему под любым пользователем и настраиваем стартовый экран (или как его ещё называют Modern UI Start) в том виде, в котором мы хотим его представить всем пользователям без возможности последующей модификации.

Все сделанные настройки стартового экрана сохраняются в бинарном файле appsFolder.itemdata-ms расположенном в профиле пользователя в каталоге
%USERPROFILE%AppDataLocalMicrosoftWindows
на том сервере, где выполнялась модификация. То есть, как вы поняли, этот файл не попадает в состав перемещаемого профиля и именно поэтому нужно его брать с того сервера, на котором выполнялась настройка (из локальной копии профиля пользователя). Разместим файл в общедоступной сетевой папке, из которой он будет копироваться в профиль пользователя при его входе на сервера RDS. Установим для этого файла атрибут “Только чтение”.

Создадим в параметрах GPP в разделе
User ConfigurationPreferencesWindows SettingsFiles
настройку, которая будет при входе пользователя в систему переписывать этот файл appsFolder.itemdata-ms. Дополнительно можно включить форсированную установку атрибута “Только чтение”

Пример заполнения полей параметра GPP:
Source file: serverMetroStartappsFolder.itemdata-ms
Destination File: %USERPROFILE%AppDataLocalMicrosoftWindowsappsFolder.itemdata-ms

В результате применения такой политики мы получим одинаковый стартовый экран у всех пользователей с фактическим запретом на его редактирование.

При закреплении ярлыков в стартовом экране, который планируется использовать для всех пользователей есть один неприятный момент, который мне так и не удалось победить. Он заключается в том, что если закреплять ярлыки на полноценно установленные в системе приложения или какие-то системные объекты типа «Панель управления», то они без вопросов будут отображаться у всех пользователей, но вот если закрепить ярлыки на какие-то отдельно взятые папки (локальные или сетевые) или на какие-то исполняемые файлы, незарегистрированные в системе через механизм установки программ (локальные или сетевые), то такие ярлыки у других пользователей отображаться не будут. По этому поводу открыл ветку обсуждения на форуме Technet, но к сожалению решения для W8/WS2012 пока нет. Есть лишь информация о том, что в W8.1/WS2012 R2 ситуация с централизованной настройкой стартового экрана измениться к лучшему и будет решаться связкой инструментария GPO и PowerShell.

Создаём групповую политику переопределений для администраторов

Помимо рядовых пользователей на сервера RDS работают и администраторы, которым созданные ограничения могу мешать в работе. Для того, чтобы разрешить эту ситуацию, создадим отдельную групповую политику переопределний для администраторов. В ней можно, например, разрешить доступ ко всем элементам панели управления и обзор всех дисков. То есть параметры GPO включенные и настроенные в общей пользовательской политике могут быть выключены или переопределены в политике для администраторов. Чтобы GPO для администраторов могли переопределять пользовательские GPO, нужно правильно настроить порядок применения этих политик.

Применение политики переопределений для администраторов надо ограничить доменной группой безопасности, в которую буду включены учетные запись этих администраторов и убрать назначенную по умолчанию группу Authenticated Users

В результате рядовые пользователи будут на наших серверах RDS будут иметь усиленные настройки, а администраторы ослабленные.

Parallels Parallels Remote Application Server (RAS) представляет из себя RDP с человеческим лицом, но некоторые его фишки должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете). Под катом рекомендации Матвея Коровина из команды техподдержки Parallels о настройках Windows Server при использовании RAS.

Ниже будут представлены групповые политики, которые смогут сделать ваш Parallels RAS (или просто сервер терминалов) более удобным и безопасным. Для более целевого использования приведенных ниже конфигураций, рекомендуем создать отдельную группу пользователей Parallels RAS и применять групповые политики именно к ней.

Часть первая. «Запрещательная»

Прячем элементы эксплорера (Диски, кнопка «Пуск» и тд)
По умолчанию при подключении к терминальному серверу виртуальной машине пользователь, добавленный в группу «Пользователи удаленного рабочего стола» увидит полностью функциональный рабочий стол.

Локальные диски будут ему видны и часто доступны. Согласитесь, это неплохая дыра в безопасности, если пользователь даже со своими лимитированными правами будет иметь возможность доступа к локальным дискам и файлам на удаленном сервере.

Даже если установить правильное разграничение доступа и тем самым обезопасить себя пугливый юзверь все равно будет путать диски терминального сервера со своими локальными дисками и в ужасе звонить в тех поддержку. Наилучшим решением такой ситуации будет спрятать локальные диски терминального сервера от пытливого взора энд юзера.

Расположение групповой политики:

User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsWindows Explorer

И измените значение следующих опций:

• Hide these specified drives in My Computer — изменив значение этой опции, вы можете убрать упоминание конкретных дисков из меню компьютера и всех связанных меню, однако это не запрещает доступ к дискам. Если пользователь задаст абсолютный адрес диска, то он откроется.
• Prevent access to drives from My Computer — запретить доступ к конкретным дискам. При включении этой опции доступ к дискам будет ограничен, но диски будут отображены в file explorer.

Что еще можно спрятать от пользователя, используя эту групповую политику:

• Remove Run menu from Start Menu – при активации убирает кнопку «Пуск» из меню
• Remove Search button from Windows Explorer – здесь все просто: поиск в эксплорере будет недоступен
• Disable Windows Explorer’s default context menu – это функция лишает пользователя возможности вызывать менюшку правым кликом мыши (можно купить старых мышек от мака и сэкономить на одной кнопке)

После написания этой части проснулась просто-таки депутатская страсть к запретам. На этом фоне стоит рассказать вам, какими способами можно запретить пользователю все.

И так поехали:

Запрещаем использование командной строки (даже если пользователь сможет открыть CMD ему останется просто любоваться черным окошком с уведомлением о запрете доступа)

Расположение групповой политики:

User Configuration → Policies → Administrative Templates → System → Prevent access to the command promt.

Меняем значение на enabled.

Опция Disable the command prompt script processing also запрещает пользователю выполнять скрипты.

Есть один нюанс: если у вас настроены логон скрипты при включении этой опции, они выполняться не будут.

Убираем кнопки выключения перезагрузки сна (будет обидно, если удаленный пользователь случайно выключит терминальный сервер)

Расположение групповой политики:

User Configuration → Administrative Templates → Start Menu and Taskbar → Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate Commands

При включении этой опции пользователь сможет только заблокировать сессию или разлогиниться из нее.

Запрещаем Автозапуск «Управление сервером» при логине
Расположение групповой политики:

Computer Configuration → Policies → Administrative Templates → System → Server Manager → Do not display Server Manager automatically at logon

Меняем значение на enabled.

Запрещаем запуск PowerShell
Расположение групповой политики:

User Configuration → Policies → Administrative Templates → System → Don’t run specified Windows applications

Включаем эту политику и добавляем туда следующие приложения
powershell.exe and powershell_ise.exe

Этой политикой можно запретить запуск любых установленных (а также не установленных) приложений.

Прячем элементы панели управления
Расположение групповой политики:

User Configuration → Administrative Templates → Control Panel → Show only specified Control Panel items.

При включении этой политики все элементы панели управления будут скрыты от пользователя. Если пользователю должны быть доступны какие-либо элементы, добавьте их в исключения.

Запрещаем запуск редактора реестра
Расположение групповой политики:

User Configuration → Policies → Administrative Templates → System → Prevent access to registry editing tools

Меняем значение на enabled.

Запрещаем все
Логичным завершением этой части статьи будет рассказ о том, как запретить пользователям все. Есть мнение, что пользователь должен подключиться к удаленному рабочему столу, посмотреть на него и, убедившись в торжестве технического прогресса, отключиться.

Для достижения этой цели нам нужно создать групповую политику добавления дополнительных ключей в реестре Windows:

Расположение групповой политики:

User ConfigurationPreferences Windows SettingsRegistry
Кликаем правой кнопкой мыши по Registry затем New затем Registry item

Добавляем новый REG_DWORD параметр RestrictRun со значением 1 в ключ реестра
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Теперь пользователю запрещено запускать любые приложения кроме системных.

Как запретить ему пользоваться CMD и Power Shell описано выше.

Если вы все-таки решите (исключительно по доброте душевной) разрешить пользователям запуск каких-либо приложений, их нужно будет добавить в «разрешительный список» путем создания в ключе

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun

Значением типа string, используя порядковый номер разрешаемой программы в качестве имени (нумерация как это не странно начинается с 1), и именем разрешаемой программы в качестве значения.

Пример:

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun]
String Name:«1»=«notepad.exe»
String Name «2»=«calc.exe»

При такой конфигурации пользователь сможет запустить только блокнот и калькулятор.

На этом хочется закончить «Запрещательную» часть. Конечно, можно упомянуть еще некоторое количество «Низя», но все это настраивается через Parallels Client и встроенные политики Parallels RAS.

Часть вторая. «Время и прочая романтика»

Установка временных лимитов для удаленных сессий

Бывает, что пользователь запускает приложение в фоне и может даже не пользоваться им. Если для обычных приложений это не страшно, то запущенное в фоне опубликованное приложение / рабочий стол занимает лицензию, а лицензии, как бы дико это не звучало для России, стоят денег.

Для решения этого вопроса умные люди из Microsoft придумали различные статусы терминальных сессий и временные лимиты для них.

Какие бывают статусы терминальных сессий:

Active – сессия активна и в ней что-то происходит. Пользователь двигает мышкой, нажимает на кнопки и создает имитацию бурной деятельности
IDLE – соединение есть, сессия запущена, приложение работает, но пользователь активности не проявляет
Disconnected – пользователь нажал крестик и отключился. Объяснять конечному пользователю, что за зверь логоф и чем он питается — бесполезно.

Наиболее целесообразно устанавливать временные рамки на IDLE и Disconnected сессий.
В них ничего не происходит, а лицензии занимаются.

Добиться этого мы можем опять-таки, используя групповые политики.

Расположение групповой политики:

User Configuration → Policies → Administrative Templates Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Session Time Limits

В этой ветке есть несколько опций. Давайте разберем их все:

Set time limit for active but idle Remote Desktop Services sessions

Максимальное время работы для Active сессий.

Set time limit for active Remote Desktop Services sessions

Максимальное время работы для IDLE сессий.

Set time limit for disconnected sessions

Максимальное время работы для disconnected сессий.

End session when time limits are reached

Если установить эту политику в Enabled статус, то по достижению временного лимита сессии будут завершаться, а не отключаться.

Настройка временных лимитов – важный шаг для оптимизации работы сервера и оптимизации затрат на ПО.

Установка времени логина для пользователей или скажем нет переработкам
У каждого из нас есть рабочий день, а также утро, вечер и ночь. Но Британские (или Мальтийские) ученые недавно выяснили, что от работы, оказывается, можно заболеть или даже умереть. Работа — это очень сильный и опасный наркотик, поэтому в ярой заботе о любимых пользователях мы должны ограничить им время, когда они могут логиниться на сервер. А то надумают тоже работать из дома, отпуска и по выходным. И помогут нам в этом не групповые политики. Настройка времени работы находится в свойствах пользователя. Где-то далеко в начале этой статьи я упоминал, что все манипуляции лучше производить со специально созданной группой пользователей Parallels RAS, так вот, на примере этой группы мы и разберем, как установить часы работы.

Идем в левый нижний угол нашего экрана, нажимаем кнопку пуск и печатаем dsa.msc
Откроется всеми любимая оснастка Active Directory Users and Computers.

Найдите созданную вами группу пользователей Parallels RAS кликните по ней правой кнопкой мыши и зайдите в свойства. Во вкладке Account будет опция Logon Hours в которой нужно выбрать разрешенные и запрещенные часы работы для группы.

Итог этого раздела:

1. Вы великолепны
2. Жизни пользователей спасены от переработки

Часть третья. «Интерактивная»

Используя опубликованные ресурсы, часто приходится не только запрещать все подряд на сервере, но и перенаправлять в удаленную сессию локальные ресурсы. И если с принтерами, сканерами, дисками, звуком и COM портами никаких сложностей не возникнет, Parallels RAS прекрасно их перенаправляет без дополнительных настроек со стороны Windows, то с перенаправлением USB устройств и веб камер все не так просто.

Для перенаправления данного типа оборудования нужно, чтобы звезды сошлись в правильном порядке не только на сервере, но и на клиентской машине:

На компьютере пользователя измените следующую групповую политику:

Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Connection Client → RemoteFX USB Device Redirection
Присвойте ей значение Enabled

Теперь в свойствах Parallels клиента (Connection Properties → Local Resources) вы сможете выбрать, какое именно из подключенных USB устройств должно быть перенаправлено на сервер.

Примечание: USB устройство может быть задействовано либо в опубликованном приложении, либо на локальном компьютере, но не одновременно и там, и там.

На стороне сервера необходимо установить драйверы и все необходимое ПО для работы USB устройства. К сожалению, универсального драйвера для всего подряд человечество еще не придумало.

На этом хотелось бы завершить обзор настроек Windows, которые будут важны для работы Parallels RAS.

З.Ы. Таких длинных текстов писать не доводилось давно, отсюда огромная благодарность всем тем, кто осилил эту статью.

Запретить или вообще скрыть доступ к дискам из окна «Мой компьютер» можно с помощью редактора групповых полисов. Для этого запустите редактор групповых полисов, нажав «Пуск» и в поле ввода наберите команду gpedit.msc, нажмите «Enter«. В открывшемся окне выберете «Конфигурация пользователя», «Административные шаблоны», «Компоненты Windows» и «Проводник Windows«.

Выбранный параметр удаляет значки дисков, но пользователь может получить доступ к содержимому скрытых дисков другим методом, если например, указать путь к папке в окне «Выполнить» или из командной строки. А так же при использовании оснастки «Управление дисками» для просмотра и изменения характеристик дисков.

Why Hide and Unhide Hard Drive Partition in Windows Server?

User case from YouTube:

Hi, I want to hide the partition through disk management. Will my data inside the disk will be deleted if I remove and add the letter again? Is it safe to hide through this process as my data is very precious……if any app/game is installed in the disk which I am going to hide, will appear in the windows search bar?…I don’t want to download 100gb of game again.

A secret place also exists on the computer for personal users, storing your homework, project, game, etc. The materials they want to hide for enterprise-level people related to data storage, applications, and communications. 

Note: The methods on this tutorial also worked on Windows 11/10/8.1/8/7. No data deletes. If you hide the external disk, remove it, and connect to another computer, it becomes visible on another PC. Re-set again if you need it.

This article will show you four easy methods to hide or unhide partition on a hard disk. After applying this way, the disk partition will not appear in the Windows File Explorer. 

1 — How to Hide A Partition with Disk Management 

Windows built-in tool, Disk Management, performs well to hide partition in simple steps. But it would be best if you were careful to avoid partition deleted by mistake.

Step 1. Press Windows + R shortcut key, then type diskmgmt.msc and click OK. Or you can right-click the Windows icon and select Disk Management from the menu.

Step 2. Right-click the partition you want to hide, then select change drive letter and paths…

Step 3. When the «Change Drive Letter and Paths for X» appears, choose the partition and click the Remove button. 

Step 4. Click Yes to confirm the operation.

Now, the partition is hidden and can not be read. If you want to find and access the partition, continue to see how to unhide the partition from Disk Management.

How to Unhide partition on Windows Server:

Step 1. Open Disk Management on the computer (Check methods above.)

Step 2. Right-click the unallocated space and select Change Drive Letter and Paths…

Step 3. Click the Add… button.

Step 4. Assign a drive letter and click OK.

2 — How to Hide or Unhide Partition on Hard Disk by Group Policy Editor

Step 1. Press Windows + R to open the Run box. Type gpedit.msc and click OK.

Step 2. Go to User Configuration > Administrative Templates > Windows Components > File Explorer. Go to the right panel and click «Hide these specified drives in My Computer.»

Step 3. Click Enabled, then check Options to select the drive for restriction.

Note: Some users reflect that the box only has the option to restrict A, B, C, D. If you want to hide other drives instead of A, B, C, D, try disk management or other third-party software.

Step 4. Click Apply > OK.

Go back to This PC. Right-click and choose «Refresh.» Your partition will hide.

Unhide from Group Policy Editor:

Step 1. Open Group Policy Editor again. Follow path: User Configuration > Windows Components > File Explorer. Choose «Hide these specified drives in my computer.» 

Step 2. Open the box under the Options section and select «Do not restrict drives.»

Step 3. Click Apply > OK.

3 — Hide or Unhide Hard Drive Partition with EaseUS Partition Master

Less than four steps, a stunning software, EaseUS Partition Master, can hide or unhide partitions in 3 steps. All operations can be pend before you decide to apply. Without worrying about choosing the wrong partition, this drive hider tool will remind you at once.

Have a try at this free software:

Detailed Steps to Hide or Unhide Partitions:

Option 1 — Hide Partition

• Right-click the partition, and choose «Advanced». Select «Hide» from the drop-down menu.
• Then you will see a window showing the notification. Read the instructions and click «Yes» to continue.
• Click the «Execute 1 Task(s)» button in the top-left corner. Then, click «Apply» to hide your partition.

Option 2 — Unhide Partition

• Right-click the partition you want to view and access. choose «Advanced» and select «Unhide» from the drop-down menu.
• Read the instructions and click «Yes» to continue.
• Click the «Execute 1 Task(s)» button in the top-left corner. Check the pending operations, then click «Apply» to unhide the partition on Windows 11/10/8/7.

4 — Run CMD to Hide and Unhide Partitions on Windows Server

Step 1. Type CMD on the search box. Right-click it and choose Run As Administrator.

Step 2. Enter the following commands and press Enter.

list volume

select volume *

remove letter * (* stands the partition you want to hide.)

Unhide partition by CMD:

Open CMD and enter commands:

list volume

select volume *

assign letter *

Exit

Final Thoughts

In this tutorial, we’ve introduced four methods to hide your confidential files on a Windows server computer. EaseUS Partition Master is the easiest way to protect your materials. 

Why Hide and Unhide Hard Drive Partition in Windows Server?

User case from YouTube:

Hi, I want to hide the partition through disk management. Will my data inside the disk will be deleted if I remove and add the letter again? Is it safe to hide through this process as my data is very precious……if any app/game is installed in the disk which I am going to hide, will appear in the windows search bar?…I don’t want to download 100gb of game again.

A secret place also exists on the computer for personal users, storing your homework, project, game, etc. The materials they want to hide for enterprise-level people related to data storage, applications, and communications. 

Note: The methods on this tutorial also worked on Windows 11/10/8.1/8/7. No data deletes. If you hide the external disk, remove it, and connect to another computer, it becomes visible on another PC. Re-set again if you need it.

This article will show you four easy methods to hide or unhide partition on a hard disk. After applying this way, the disk partition will not appear in the Windows File Explorer. 

1 — How to Hide A Partition with Disk Management 

Windows built-in tool, Disk Management, performs well to hide partition in simple steps. But it would be best if you were careful to avoid partition deleted by mistake.

Step 1. Press Windows + R shortcut key, then type diskmgmt.msc and click OK. Or you can right-click the Windows icon and select Disk Management from the menu.

Step 2. Right-click the partition you want to hide, then select change drive letter and paths…

Step 3. When the «Change Drive Letter and Paths for X» appears, choose the partition and click the Remove button. 

Step 4. Click Yes to confirm the operation.

Now, the partition is hidden and can not be read. If you want to find and access the partition, continue to see how to unhide the partition from Disk Management.

How to Unhide partition on Windows Server:

Step 1. Open Disk Management on the computer (Check methods above.)

Step 2. Right-click the unallocated space and select Change Drive Letter and Paths…

Step 3. Click the Add… button.

Step 4. Assign a drive letter and click OK.

2 — How to Hide or Unhide Partition on Hard Disk by Group Policy Editor

Step 1. Press Windows + R to open the Run box. Type gpedit.msc and click OK.

Step 2. Go to User Configuration > Administrative Templates > Windows Components > File Explorer. Go to the right panel and click «Hide these specified drives in My Computer.»

Step 3. Click Enabled, then check Options to select the drive for restriction.

Note: Some users reflect that the box only has the option to restrict A, B, C, D. If you want to hide other drives instead of A, B, C, D, try disk management or other third-party software.

Step 4. Click Apply > OK.

Go back to This PC. Right-click and choose «Refresh.» Your partition will hide.

Unhide from Group Policy Editor:

Step 1. Open Group Policy Editor again. Follow path: User Configuration > Windows Components > File Explorer. Choose «Hide these specified drives in my computer.» 

Step 2. Open the box under the Options section and select «Do not restrict drives.»

Step 3. Click Apply > OK.

3 — Hide or Unhide Hard Drive Partition with EaseUS Partition Master

Less than four steps, a stunning software, EaseUS Partition Master, can hide or unhide partitions in 3 steps. All operations can be pend before you decide to apply. Without worrying about choosing the wrong partition, this drive hider tool will remind you at once.

Have a try at this free software:

Detailed Steps to Hide or Unhide Partitions:

Option 1 — Hide Partition

• Right-click the partition, and choose «Advanced». Select «Hide» from the drop-down menu.
• Then you will see a window showing the notification. Read the instructions and click «Yes» to continue.
• Click the «Execute 1 Task(s)» button in the top-left corner. Then, click «Apply» to hide your partition.

Option 2 — Unhide Partition

• Right-click the partition you want to view and access. choose «Advanced» and select «Unhide» from the drop-down menu.
• Read the instructions and click «Yes» to continue.
• Click the «Execute 1 Task(s)» button in the top-left corner. Check the pending operations, then click «Apply» to unhide the partition on Windows 11/10/8/7.

4 — Run CMD to Hide and Unhide Partitions on Windows Server

Step 1. Type CMD on the search box. Right-click it and choose Run As Administrator.

Step 2. Enter the following commands and press Enter.

list volume

select volume *

remove letter * (* stands the partition you want to hide.)

Unhide partition by CMD:

Open CMD and enter commands:

list volume

select volume *

assign letter *

Exit

Final Thoughts

In this tutorial, we’ve introduced four methods to hide your confidential files on a Windows server computer. EaseUS Partition Master is the easiest way to protect your materials. 

Ограничиваем доступ к дискам на терминальном сервере

Итак. Потребовалось ограничить терминальным пользователям доступ к дискам средствами групповой политики AD.
С одним условием. Один диск необходимо оставить.
И все бы ничего. Но в  GPO Windows Server 2012 R2 нет такого пункта

Есть только:

• Ограничить доступ к дискам A, B, C и D
• Ограничить доступ к дискам A, B и C
• Ограничить доступ к дискам A и B
• Ограничить доступ ко всем дискам

Будем добавлять строчку:

• Ограничить доступ к дискам кроме V

Первым делом разберемся с административными шаблонами.

Чтобы знать что где находится, нам необходимо настроить Централизованное хранилище административных шаблонов (Group Policy Central Store)

Идем на сайт Microsoft и качаем готовые шаблоны для Windows 8 и Windows Server 2012
Administrative Templates (.admx) for Windows 8.1 and Windows Server 2012 R2

https://www.microsoft.com/en-us/download/details.aspx?id=41193

Ставим по умолчанию методом «далее далее»

Идем по пути C:Program Files (x86)Microsoft Group PolicyWindows 8.1-Windows Server 2012 R2 и копируем папку PolicyDefinitions в папку C:WindowsSYSVOLsysvolИМЯ_ДОМЕНАPolicies

После этого открываем групповую политику и смотрим что у нас получилось

Если видим слова «центральное хранилище» значит операция прошла удачно и можно продолжать.

Теперь будем добавлять пункт меню.

Нас интересует раздел:

Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Проводник

• Запретить доступ к дискам через «Мой компьютер»
• Скрыть выбранные диски из окна «Мой компьютер»

Именно в параметры этих двух разделов будет добавлен выбор «Ограничить доступ к дискам кроме V»

Открываем папку с нашим центральным хранилищем

C:WindowsSYSVOLsysvolИМЯ_ДОМЕНАPolicies

Для начала создадим переменную с описанием строки.

Откроем для редактирования файл:

PolicyDefinitionsru-ruWindowsExplorer.adml

И добавим строку

      <string id="Vonly">Ограничить доступ к дискам кроме V</string>

Должно выйти вида

* * * * * * * *
    <stringTable>
      <string id="ABCDOnly">Ограничить доступ к дискам A, B, C и D</string>
      <string id="ABConly">Ограничить доступ к дискам A, B и C</string>
      <string id="Vonly">Ограничить доступ к дискам кроме V</string>
      <string id="ABOnly">Ограничить доступ к дискам A и B</string>
      <string id="ALLDrives">Ограничить доступ ко всем дискам</string>
      <string id="ClassicShell">Включить классическую оболочку</string>
* * * * * * * *

Фактически мы добавили «переменную» Vonly.
Теперь необходимо задать ей действие.

Откроем для редактирования файл:

PolicyDefinitionsWindowsExplorer.admx

Поиском ищем где расположено само меню. Можно искать по ABConly

И добавим строку

          
          </item>
          <item displayName="$(string.Vonly)">
            <value>
              <decimal value="65011711" />
            </value>
          </item>

Должно выйти вида

* * * * * * * *
          <item displayName="$(string.ABConly)">
            <value>
              <decimal value="7" />
            </value>
          </item>
          <item displayName="$(string.Vonly)">
            <value>
              <decimal value="65011711" />
            </value>
          </item>
          <item displayName="$(string.ABCDOnly)">
            <value>
              <decimal value="15" />
* * * * * * * *

Добавить необходимо в два места.
Эти разделы повторяются в файле дважды !!!!

65011711

Откуда взялась эта цифра ? Цифра взялась из расчета

Основная суть:
Буквы дисков представляют собой обратную последовательность, переведенную в двоичный код %)

Пример:

00000000000000000000000000  -> 0
ZYXWVUTSRQPONMLKJIHGFEDCBA

00000000000000000000000001  -> 1
ZYXWVUTSRQPONMLKJIHGFEDCBA

00000000000000000000000100  -> 4
ZYXWVUTSRQPONMLKJIHGFEDCBA

00000000000000000000000111  -> 7
ZYXWVUTSRQPONMLKJIHGFEDCBA

11110111111111111111111111  -> 65011711
ZYXWVUTSRQPONMLKJIHGFEDCBA

Что надо запретить, там 1. Что оставить, там 0. Берем двоичный ряд, и переводим его любым доступным нам способом в десятичную систему. На выходе получаем нужное нам число.
После проделанных манипуляций с редактированием файлов. Открываем GPO. И смотрим появилось ли необходимое меню.

Монтирование диска V

Для монтирования диска добавлен LOGON скрипт для пользователя

Редактируем файл скрипта:

disk_v.cmd

mkdir D:REMOTE%username%
subst v: D:REMOTE%username%

cacls %userprofile%Desktop /e /d domain%username%
cacls %userprofile%Desktop /e /g domain%username%:R

Две последние строки cacls, представляют из себя костыль блокирования записи на рабочий стол пользователем и здесь не обязательны. Оставил чтобы потом не искать.

RemoteAPP Windows Server 2008 R2 — hide local server drives

• Question

• I am using RemoteAPP Windows Server 2008 R2, When we open, say, Excel and select open a file within Excel you are presented with the «Local disk» of the Terminal Server and not the local computer. How can I change that I want to hide the local Terminal
  server Drives. And I want the local drives to show as C:, R: etc, not R on REMOTEAPP-01