Błąd: „Access to the resource (…) has been disallowed” i blokowanie scieżek UNC przez GPO

Serwery Terminalowe to przykład maszyn, które administrator przeważnie chce nieco bardziej ograniczyć przed wszędobylskimi kliknięciami użytkowników. Tak więc, mając u siebie taki serwer, użyjemy Group Policy (LGP lub GPO) do ukrycia niektórych funkcji np. menu start, CMD czy ikonki „My Computer”. Istnieje też możliwość zablokowania ścieżek UNC, dzięki czemu użytkownicy nie będą mogli ani otwierać lokalnych dysków, ani łączyć się do innych zasobów sieciowych z poziomu explorera.

Zablokowanie tej funkcjonalności, po wpisaniu ścieżki UNC („\\server\udział”, „\\server”) lub litery dysku w explorerze spowoduje pojawienie się komunikatu:

„Access to the resource (…) has been disallowed”

Tak więc, jeśli chcecie zablokować UNC, lub trafiliście na mój artykuł z powodu komunikatu, podpowiadam, gdzie znaleźć to ustawienie. Nie jest to takie oczywiste, bo..
..zablokowanie UNC odbywa się przy okazji usunięcia opcji „Run” (uruchom) z Menu Start.

Jak usunąć opcję „Run” (uruchom) z Menu Start?

Jeśli w naszym środowisku używamy lokalnych polityk uruchamiamy:

gpedit.msc

Gdy działa u nas działa u nas GPO:

gpmc.msc

( o instalacji konsoli GPMC pisałem wcześniej )

Nawigujemy kolejno:

User Configuration -> Administrative Templates -> Start Menu and Taskbar -> Remove Run menu from Start Menu

Ustawienie „enabled” usunie nam opcję „run” z menu „start” i przy okazji zablokuje ścieżki UNC. Oczywiście opcja „disabled” zadziała odwrotnie 🙂

Jeśli tworzymy nową politykę, powinniśmy ją podlinkować do kontenera, w którym są konta naszych użytkowników lub zastosować tzw „Policy Loopback”.

I jeszce jedna ważna uwaga:

GPO zadziała na konta domenowe. Logowanie na przykład lokalnym kontem admina, pozwoli ominąć te ogrniczenia.

Więcej o blokowaniu serwera terminalowego napiszę niebawem. Niektóre możliwości konfigurowania maszyn przez GPO już opisywaliśmy na naszym Blogu. Były to m.in blokowanie auto-uruchamiania programów z dysków i nośników, czy dostępu do pamięci USB.

Zapraszam do odwiedzania naszego Bloga:)

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

Przeczytaj także...

Dodaj komentarz