Browsen via UNC weigeren in file open dialog

Ik twijfel tussen een aantal subfora voor mijn vraag, maar uiteindelijk lijkt dit me toch de meest geschikte locatie.

Situatie : Windows 2000 Terminal Server met Office 2002, de TSE's zijn lid van een Windows 2000 domain.
Via diverse wegen zijn de desktops ruimschoots dichtgetimmerd. Geen" My Network Places" icoon op de desktop of in "My Computer" en ook browsen over het netwerk is disabled.
Het is dus onmogelijk om een UNC pad aan te roepen via Explorer of Internet Explorer. Dit werkt allemaal prima.

Naar nu blijkt heeft Office lak aan deze beperkingen. Indien je niet via een GPO een default filelocation opgeeft, zal hij bij "File open" je "My Documents" via UNC openen. Gevolg: je kunt terugbladeren in het UNC pad, en zo over het hele netwerk browsen.
Als we via een GPO de default file location per Office onderdeel opgeven, zoekt hij in de juiste plek en kun je geen netwerk meer zien.
Echter, IN de "File open" window kun je bij het veld "File name" gewoon een UNC pad intikken, en hij gaat daarnaartoe
Sterker nog, pak een share, doe rechtermuisklik en kies voor "Explore" en de explorer zal zich openen en je kunt verder browsen.
Tik je echter zelfs in dat nieuwe explorer window een UNC pad in de address bar, krijg je keurig een melding dat je dat niet mag.

Iemand enig idee waar te beginnen om Office aan zijn verstand te brengen dat hij zich aan de policy's van het OS moet houden

Een langdurige zoektoch levert weinig info op, behalve de obvious dingen:

- Disable network browsing via GPO (reeds gedaan, en los van Office werkt dat prima)
- Zet de rechten goed op je shares (dat is sowieso de bedoeling, maar neemt niet weg dat men nog steeds naar de shares toe kan browsen)
- Verberg je servers uit de browse list dmv een registry tweak (lanmanservers:paramaters:hidden=1) dit zal vast werken, maar niet *alle* devices die zich in de browse list zetten kun je daarmee hiden, en als je een naam van een server weet staat office dit alsnog toe).

[ Voor 17% gewijzigd door Koffie op 11-05-2006 22:46 ]

Ik kom er net achter dat waarschijnlijk wel meer applicaties hier last van hebben ?
Bijvoorbeeld een "Dymo Labelwriter" programma staat het ook gewoon toe

Mja, wij hebben zoveel shares en servers dat er altijd een reeele kans is dat er een share openstaat voor users die daar net niet mogen komen.
Normaal geen probleem, want ze kunnen er niet naartoe.
Naar nu blijkt hebben diverse programma's (waaronder dus zelfs Office ) daar compleet lak aan.
Nog erger is als een programma besluit de home share als 'thuis basis' te gebruiken voor "File open" en "Save as" maar dat vervolgens doodleuk op UNC doet.

Het filecluster is Windows 2003, maar het merendeel van alle andere servers is Windows 2000

Verder willen we liever niet dat gebruikers andere shares kunnen zien, daar ze niet hoeven te weten wie (met naam en toenaam) de andere klanten zijn.

edit : ik zie net dat "Access Based Enumeration" maar mondjesmaat werkt in en cluster omgeving (bij een move group ben je het weer kwijt).
Zolang dat niet werkt, heb ik er dus weinig aan.

edit2 : Ik kom er net achter dat ik ABE verkeerd begreep. Ik had gehoopt dat ik hiermee de shares zelf kon verbergen, maar het gaat alleen maar om de folders *in* de shares.
Mooiste zou zijn als je dus een share kan hiden als je er geen rechten op hebt.

Ik ga me eens inlezen op de custom nethood truuk die je aanhaalde.

[ Voor 29% gewijzigd door Koffie op 13-05-2006 11:01 ]

Ik heb het iig gisteren even heel vlug geprobeerd, en ik kreeg het niet zo snel voor elkaar.
Komt ngo bij dat het leeuwendeel van onze shares vanaf de CLuster Groups komen, waar je dus geen ABE op kunt zetten bij mijn weten.

Nogmaals : de gebrukers hebben alleen maar mapped network drives, geen enkele Network Neigboorhood of toegang tot network browsing via IE of Explorer.
Probleem is dus juist dat nu blijkt dat veel programma's daar niets van aantrekken.

Je kunt veel afvangen door te zorgen dat geen enkele app zijn default location via UNC pakt, dan zien ze helemaal geen netwerk/UNC

Maar mochten ze er toch komen (bijvoorbeeld doordat office doodleuk UNC browsing wel toestaat) wil ik het liefst zelfs de shares verbergen. Immers, een klant in Noord-Holland hoeft helemaal niet te zien dat we een klantengroep met naam X in Limburg hebben zitten.

Klopt, alleen gaat het omzetten van de shares idd een hoop tijd met zich meebrengen (evenals het checken van de rechten).
Eerst een nieuwe hidden share maken --> rechten checken --> scripts aanpassen --> volgende dag normale share verwijderen --> bidden en de helpdesk op de hoogte brengen

Die apps zullen idd aangepast moeten worden dat ze niet via UNC kunnen browsen.

Hieronder nog een screenie van wat ik bedoel: het is 'verboden' om naar het netwerk te broswen. \\servernaam in IE of explorer intikken heeft dus ook geen nut, maar de File Open dalog staat dat dus wel toe; dat is mijn grootste probleem.