Windows Server - Restringir acceso recursos locales a usuario TS 08

Hola,
A ver si me pueden ayudar jeje. Resulta que en mi empresa hay una aplicación .Net que los usuarios ejecutan remotamente, utilizando el RemoteApps de Terminal Server (el servidor es un Windows server 2008). Ellos abren la página del remoteApps desde el navegador, se loguean con su usuario y luego clickan sobre la aplicación que quieren ejecutar y ésta se abre pero ejecutándose remotamente en el servidor. Al abrir la aplicación remota, no pueden ver ni tocar nada del servidor (Escritorio, Mis documentos, etc...). Hasta aquí todo perfecto. El problema surge cuando los usuarios quieren descargar o subir documentos utilizando la aplicación, que usa el diálogo de .Net SaveFileDialog, el cual abre una ventana de diálogo y permite escoger dónde descargar o desde donde subir el archivo. Cuando un usuario abre este diálogo, puede ver las carpetas locales, el escritorio, mis documentos, c, etc. A mí lo que me gustaría es que estas carpetas no le salieran en el diálogo y sólo pudiera ver una unidad de red, que previamente se habría mapeado. Yo sé que se puede hacer que un usuario no pueda copiar nada en el escritorio, ni en mis documentos, pero no sé cómo se hace. Creo que el tema va por políticas locales o algún script, pero no sé cómo se hace.

Resumiendo: quiero que, cuando los usuarios abran los diálogos de la aplicación para descargar/subir un archivo, no vean las carpetas locales (escritorio, c, mis documentos, etc). A ver si alguien sabe qué políticas locales del servidor o script puedo utilizar...

Muchísimas gracias de antemano.
Gracias y saludos!!!!

Lo puedes realizar a traves de directivas de grupo.
En directiva de grupo de la OU donde pertenecen estos usuarios debes de ir:

Configuracion de Usuario ---- Plantillas Administrativas ------ Componentes de Windows ------ Explorador de Windows ------- Debes de Habilitar las politicas y personalizarlas.
Las politicas son:
(Ocultar estas unidadades especificas en MiPC) y (Impedir acceso a las unidades desde MiPC)

Saludos

Efectivamente, al final había 2 formas de hacerlo:

1. Por políticas locales (gpedit.msc), en Configuración de Usuario / Plantillas Administrativas / Componentes de Windows / Explorador de Windows. Habilitamos la política "Ocultar estas unidades especificadas en Mi PC", la cual oculta las unidades que especifiquemos (A,B,C,D...) pero sí permite el acceso si escribimos Unidad: en el explorador. Además, podemos bloquear (no se permite el acceso si escribimos Unidad: en el explorador) el acceso a estas unidades de mi PC habilitando la política "Impedir accesao a las unidades desde MI PC".

2. El equivalente de estas 2 políticas en el registro, serían añadir un par de valores en la clave HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies. El valor DWord NoViewOnDrive impide acceder a las unidades locales especificadas en su valor hexadecimal, y NoDrives oculta las unidades. Si se quiere ocultar la C, el valor hexadecimal sería un 0x00000004 (4), la D un 0x00000008 (8), la C y la D un 12, es decir, 0x0000000c (12) en hexadecimal, etc...

No lo apliqué sobre las OU porque sólo hacía falta que se hiciera sobre una máquina, la del Terminal server.

Dejo una par de links de ayuda:
http://www.pctools.com/guides/registry/detail/1157/
http://www.pctools.com/guides/registry/detail/148/

Muchísimas gracias por tu ayuda,
Un saludo!!!!

hola me puedes ayudar para saber que es fristsar el sistemas y que programas usan para esto, se que es el administrador del sistema es quien puede verificar todos los archivos que se abrieron y que se escribio en cada uno de ellos.
gracias