Назад | Перейти на главную страницу

Запретить пользователям сохранять файлы на рабочем столе, в Моих документах, Моей музыке, Моих видео, Моих изображениях и т. Д. Через GPO

Хочу выполнить следующую задачу: У пользователя не должно быть прав на сохранение на рабочем столе, в Моих документах, Моей музыке, Моих видео, Моих изображениях и т. Д.

Я уже предотвратил и спрятал все диски через GPO. Однако пользователь по-прежнему может хранить файлы в местах, перечисленных выше.

Серверная ОС: Windows Server 2008 R2

Клиентская ОС: Windows XP, Windows Vista и Windows 7

Это очень просто, если вы используете Windows Server 2008.

  1. Создайте объект групповой политики, перейдите в Computer Configuration > Policy > Windows Settings > Security Settings > File System
  2. Щелкните правой кнопкой мыши и добавьте %userprofile%\Desktop .... и т.д. для разных папок, к которым вы хотите ограничить доступ.
  3. Укажите права для указанной папки (папок) для пользователей или групп пользователей.

Это возможно с помощью сценария входа в систему, но это немного сложно и потребует тестирования, чтобы убедиться, что он правильно работает в целевой среде. Он делает предположения о записях ACE в ACL (система, администраторы и пользователь), а также о том, что пользователь является владельцем (обычно они таковыми являются). Это не пуленепробиваемая защита, но она может помочь свести к минимуму случайный сценарий «сохранить 2 ГБ ISO-файла в папке рабочего стола перемещаемого профиля».

В общих чертах, когда пользователь входит в систему, в конце последнего сценария входа в систему, ACL для их рабочего стола и других мест, чтобы у них были разрешения на чтение и выполнение.

В сценарии logOFF верните разрешения в нормальное состояние.

В начале сценария входа в систему также должна быть проверка для сброса разрешений в нормальное состояние в случае сбоя сценария выхода из системы.

Существует множество инструментов ACL: icacls, fileacl, setacl.

Определение правильного пути можно выполнить с помощью следующего синтаксиса PowerShell: 

[Environment]::GetFolderPath("DesktopDirectory")

Это следует использовать, чтобы гарантировать, что операция выполняется в перенаправленном местоположении, а не в локальном.

Чтобы получить список всех расположений специальных папок среды: 

[Environment+SpecialFolder]::GetNames([Environment+SpecialFolder])

Обычно это возвращает:

Рабочий стол
Программы
Личное
Мои документы
Избранное
Запускать
Недавние
Отправить
Стартовое меню
Моя музыка
DesktopDirectory
Мой компьютер
Шаблоны
Данные приложений
LocalApplicationData
InternetCache
Печенье
История
CommonApplicationData
Система
Программные файлы
Мои фотографии
CommonProgramFiles

Обратите внимание, что существуют специальные папки Desktop и DesktopDirectory.

Вот пример команды PowerShell для использования FileAcl, устанавливающей для папки Desktop значение Read and Execute для пользователя: 

$user = [System.Environment]::ExpandEnvironmentVariables("%USERDOMAIN%\%USERNAME%")
$exe = "C:\util\FileAcl\FileAcl.exe "
$arg1 = [System.Environment]::GetFolderPath("DesktopDirectory")
$arg2 = "/S"
$arg3 = "`"NT AUTHORITY\SYSTEM`":F"
$arg4 = "/S"
$arg5 = "`"" + $user + "`"" + ":RX"
$arg6 = "/S"
$arg7 = "`"BUILTIN\Administrators`":F"
$arg8 = "/REPLACE"
$arg9 = "/PROTECT"
$allArgs = @($arg1, $arg2, $arg3, $arg4, $arg5, $arg6, $arg7, $arg8, $arg9)


&$exe $allArgs

Чтобы установить для папки разрешение на изменение для пользователя, arg5 будет:

$ arg5 = """ + $user + """ + ": RWXD"

Здесь решение без необходимости изменять разрешения.

SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag

ThisPCPolicy

REG_SZ

Hide

Это скрывает рабочий стол с вариантами сохранения.

Эту конфигурацию можно развернуть с помощью объекта групповой политики.

Источник:

http://www.sysadmit.com/2018/03/gpo-impedir-guardar-en-el-escritorio.html

Для остальных папок это будет:

Документы:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {f42ee2d3-909f-4907-8871-4c22fc0bf756} \ PropertyBag

Картинки:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {0ddd015d-b06c-45d5-8c4c-f59713854639} \ PropertyBag

Ролики:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {35286a68-3c57-41a1-bbb1-0eae73d76c95} \ PropertyBag

Загрузки:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {7d83ee9b-2244-4e70-b1f5-5393042af1e4} \ PropertyBag

Музыкальная папка:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {a0c69a99-21c8-4671-8703-7934162fcf1d} \ PropertyBag

Папка рабочего стола:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag