Verhindern Sie, dass Benutzer über das Gruppenrichtlinienobjekt auf ihrem Desktop, Eigene Dateien, Eigene Musik, Eigene Videos, Eigene Bilder usw. speichern

Ich möchte die folgende Aufgabe ausführen: Ein Benutzer darf keine Rechte zum Speichern auf seinem Desktop, meinen Dokumenten, meiner Musik, meinen Videos, meinen Bildern usw. haben.

Ich habe bereits alle Laufwerke über das Gruppenrichtlinienobjekt verhindert und ausgeblendet. Der Benutzer kann jedoch weiterhin Dateien an den oben aufgeführten Speicherorten speichern.

Server-Betriebssystem: Windows Server 2008 R2

Client-Betriebssystem: Windows XP, Windows Vista und Windows 7

Es ist sehr einfach, wenn Sie Windows Server 2008 verwenden.

1. Erstellen Sie ein Gruppenrichtlinienobjekt, gehen Sie zu Computer Configuration> Policy> Windows Settings> Security Settings>File System
2. Klicken Sie mit der rechten Maustaste und fügen Sie %userprofile%\Desktop... usw. für die verschiedenen Ordner hinzu, auf die Sie den Zugriff beschränken möchten.
3. Geben Sie die Rechte für die angegebenen Ordner für Benutzer oder Benutzergruppen an.

Dies ist mit einem Anmeldeskript möglich, aber etwas schwierig und erfordert Tests, um sicherzustellen, dass es für die Zielumgebung ordnungsgemäß funktioniert. Es werden Annahmen über die ACE-Einträge in der ACL (System, Administratoren und Benutzer) getroffen und dass der Benutzer der Eigentümer ist (dies ist normalerweise der Fall). Es ist keine kugelsichere Sicherheit, kann jedoch dazu beitragen, das gelegentliche Szenario "Speichern einer 2-GB-ISO-Datei im Desktop-Ordner des Roaming-Profils" zu minimieren.

Wenn sich ein Benutzer am Ende des letzten Anmeldeskripts in großen Zügen anmeldet, ACL seinen Desktop und andere Speicherorte, sodass er über die Berechtigung Lesen und Ausführen verfügt.

Setzen Sie im logOFF-Skript die Berechtigungen auf den Normalwert zurück.

Zu Beginn des Anmeldeskripts sollte auch überprüft werden, ob die Berechtigungen auf den Normalwert zurückgesetzt werden, falls das Abmeldeskript fehlschlägt.

Es gibt eine Vielzahl von ACL-Tools: icacls, fileacl, setacl.

Das Ermitteln des richtigen Pfads kann mithilfe der folgenden PowerShell-Syntax durchgeführt werden:

[Environment]::GetFolderPath("DesktopDirectory")  

Dies sollte verwendet werden, um sicherzustellen, dass der Vorgang am umgeleiteten Standort und nicht am lokalen Standort ausgeführt wird.

So erhalten Sie eine Liste aller Speicherorte für spezielle Umgebungsordner:

[Environment+SpecialFolder]::GetNames([Environment+SpecialFolder])  

Das gibt normalerweise zurück:

Desktop-
Programme
Persönliche
MyDocuments-
Favoriten
Start
Letzte
SendTo
StartMenu
MyMusic
DesktopDirectory
MyComputer-
Vorlagen
ApplicationData
LocalApplicationData
InternetCache-
Cookies
Verlauf
CommonApplicationData
System
ProgramFiles
MyPictures
CommonProgramFiles

Beachten Sie, dass es sowohl Desktop- als auch DesktopDirectory-Spezialordner gibt.

Hier ist ein Beispiel für einen PowerShell-Befehl zur Verwendung von FileAcl. Stellen Sie den Desktop-Ordner für einen Benutzer auf Lesen und Ausführen ein:

$user = [System.Environment]::ExpandEnvironmentVariables("%USERDOMAIN%\%USERNAME%")
$exe = "C:\util\FileAcl\FileAcl.exe "
$arg1 = [System.Environment]::GetFolderPath("DesktopDirectory")
$arg2 = "/S"
$arg3 = "`"NT AUTHORITY\SYSTEM`":F"
$arg4 = "/S"
$arg5 = "`"" + $user + "`"" + ":RX"
$arg6 = "/S"
$arg7 = "`"BUILTIN\Administrators`":F"
$arg8 = "/REPLACE"
$arg9 = "/PROTECT"
$allArgs = @($arg1, $arg2, $arg3, $arg4, $arg5, $arg6, $arg7, $arg8, $arg9)


&$exe $allArgs  

Um den Ordner auf die Berechtigung zum Ändern für den Benutzer zu setzen, lautet arg5:

$ arg5 = " "" + $user + "" "+": RWXD "

Hier eine Lösung, ohne dass die Berechtigungen geändert werden müssen.

SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag

ThisPCPolicy

REG_SZ

Hide

Dadurch wird der Desktop der Optionen ausgeblendet, unter denen gespeichert werden soll.

Diese Konfiguration kann mithilfe eines Gruppenrichtlinienobjekts bereitgestellt werden.

Quelle:

http://www.sysadmit.com/2018/03/gpo-impedir-guardar-en-el-escritorio.html

Für den Rest der Ordner wäre es:

Unterlagen:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {f42ee2d3-909f-4907-8871-4c22fc0bf756} \ PropertyBag

Bilder:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {0ddd015d-b06c-45d5-8c4c-f59713854639} \ PropertyBag

Videos:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {35286a68-3c57-41a1-bbb1-0eae73d76c95} \ PropertyBag

Downloads:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {7d83ee9b-2244-4e70-b1f5-5393042af1e4} \ PropertyBag

Musikordner:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {a0c69a99-21c8-4671-8703-7934162fcf1d} \ PropertyBag

Desktop-Ordner:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag