Применение полезных групповых политик
Еще одно пожелание состоит в запрещении комадной строки и команды Run, а также запрещение изменения меню Start и панели задач, чтобы пользователи не смогли сами восстановить командную строку и команду Run. Эти групповые политики находятся в User Configuration, Administrative Templates, Start Menu and Taskbar. Запретите панель управления, используя политику Disable Control Panel в разделе User Configuration, Administrative Templates, Control Panel. Раздел User Configuration, Administrative Templates, Windows Explorer также содержит политику для запрещения доступа к выбранным дискам сервера. Если вы разрешите эту политику, пользователи не будут видеть эти диски в My Computer, Windows Explorer, командах Run и DIR, в My Network Places, но приложения и оснастка MMC Disk Management будут показывать эти диски. (Если пользователи попробуют зайти в эти диски, они увидят сообщение об ошибке, говорящее об отсутствии прав для просмотра). Чтобы совсем отнять возможность просматривать нежелательные диски, вы можете запретить использование MMC на сервере MetaFrame из раздела MMC\Administrative Templates. Запрещенные диски все равно видны пользователю (но недоступны для просмотра их содержимого), поэтому если вы хотите удалить соблазн и избежать вопросов почему некотрые диски недоступны, вы можете применить другую политику в ту же папку: Hide These Specified Drives in My Computer.
Наконец, рассмотрите использование опубликованных приложений. Они не используют больше памяти, чем запуск того же числа приложений в одном сеансе на сервере MetaFrame, а предотвращая доступ к рабочему столу вы устраните много брешей в защите..
