Ich möchte die folgende Aufgabe ausführen: Ein Benutzer darf keine Rechte zum Speichern auf seinem Desktop, meinen Dokumenten, meiner Musik, meinen Videos, meinen Bildern usw. haben.
Ich habe bereits alle Laufwerke über das Gruppenrichtlinienobjekt verhindert und ausgeblendet. Der Benutzer kann jedoch weiterhin Dateien an den oben aufgeführten Speicherorten speichern.
Server-Betriebssystem: Windows Server 2008 R2
Client-Betriebssystem: Windows XP, Windows Vista und Windows 7
Dies ist mit einem Anmeldeskript möglich, aber etwas schwierig und erfordert Tests, um sicherzustellen, dass es für die Zielumgebung ordnungsgemäß funktioniert. Es werden Annahmen über die ACE-Einträge in der ACL (System, Administratoren und Benutzer) getroffen und dass der Benutzer der Eigentümer ist (dies ist normalerweise der Fall). Es ist keine kugelsichere Sicherheit, kann jedoch dazu beitragen, das gelegentliche Szenario "Speichern einer 2-GB-ISO-Datei im Desktop-Ordner des Roaming-Profils" zu minimieren.
Wenn sich ein Benutzer am Ende des letzten Anmeldeskripts in großen Zügen anmeldet, ACL seinen Desktop und andere Speicherorte, sodass er über die Berechtigung Lesen und Ausführen verfügt.
Setzen Sie im logOFF-Skript die Berechtigungen auf den Normalwert zurück.
Zu Beginn des Anmeldeskripts sollte auch überprüft werden, ob die Berechtigungen auf den Normalwert zurückgesetzt werden, falls das Abmeldeskript fehlschlägt.
Es gibt eine Vielzahl von ACL-Tools: icacls, fileacl, setacl.
Das Ermitteln des richtigen Pfads kann mithilfe der folgenden PowerShell-Syntax durchgeführt werden:
Dies sollte verwendet werden, um sicherzustellen, dass der Vorgang am umgeleiteten Standort und nicht am lokalen Standort ausgeführt wird.
So erhalten Sie eine Liste aller Speicherorte für spezielle Umgebungsordner:
Das gibt normalerweise zurück:
Desktop-
Programme
Persönliche
MyDocuments-
Favoriten
Start
Letzte
SendTo
StartMenu
MyMusic
DesktopDirectory
MyComputer-
Vorlagen
ApplicationData
LocalApplicationData
InternetCache-
Cookies
Verlauf
CommonApplicationData
System
ProgramFiles
MyPictures
CommonProgramFiles
Beachten Sie, dass es sowohl Desktop- als auch DesktopDirectory-Spezialordner gibt.
Hier ist ein Beispiel für einen PowerShell-Befehl zur Verwendung von FileAcl. Stellen Sie den Desktop-Ordner für einen Benutzer auf Lesen und Ausführen ein:
Um den Ordner auf die Berechtigung zum Ändern für den Benutzer zu setzen, lautet arg5:
$ arg5 = "
"" + $user + "
" "+": RWXD "quelle
Hier eine Lösung, ohne dass die Berechtigungen geändert werden müssen.
Dadurch wird der Desktop der Optionen ausgeblendet, unter denen gespeichert werden soll.
Diese Konfiguration kann mithilfe eines Gruppenrichtlinienobjekts bereitgestellt werden.
Quelle:
http://www.sysadmit.com/2018/03/gpo-impedir-guardar-en-el-escritorio.html
Für den Rest der Ordner wäre es:
Unterlagen:
Bilder:
Videos:
Downloads:
Musikordner:
Desktop-Ordner:
quelle