web-dev-qa-db-fra.com

Restreindre l'utilisateur de l'enregistrement sur leur bureau, mes documents, ma musique, mes vidéos, mes photos, etc. via GPO

Je veux accomplir la tâche suivante : Un utilisateur doit ne pas avoir de droits à économiser sur leur bureau, mes documents, ma musique, mes vidéos, mes photos, etc.

J'ai déjà empêché et caché tous les lecteurs via GPO. Cependant, l'utilisateur est toujours capable de stocker des fichiers dans les emplacements énumérés ci-dessus.

Server OS: Windows Server 2008 R2

OS Client: Windows XP, Windows Vista et Windows 7

windows-server-2008-r2windows-7group-policywindows-xpwindows-vista
7
Param

C'est très facile si vous utilisez Windows Server 2008.

  1. Créez un objet de stratégie de groupe, allez à Computer Configuration> Policy> Windows Settings> Security Settings> File System
  2. Cliquez avec le bouton droit de la souris et ajoutez %userprofile%\Desktop .... etc pour les différents dossiers que vous souhaitez limiter l'accès à.
  3. Spécifiez les droits pour le (s) dossier (s) spécifié (s) pour les utilisateurs ou les groupes d'utilisateurs.
5
user124890

Cela est possible avec un script de connexion, mais il est un peu délicat et nécessiterait des tests pour s'assurer que cela fonctionne correctement pour l'environnement cible. Cela rend les hypothèses sur les entrées ACE dans l'ACL (système, administrateurs et utilisateur) et que l'utilisateur est le propriétaire (ils sont généralement). Ce n'est pas une sécurité anti-bulle, mais cela peut aider à réduire au minimum le scénario Casual "Enregistrer un fichier ISO de 2 Go dans le scénario du dossier d'itinéraire".

Dans de larges traits, lorsqu'un utilisateur se connecte, à la fin du dernier script d'ouverture de session, ACL leur bureau et d'autres emplacements de manière à avoir lu et exécute la permission.

Dans le script de déconnexion, revenez les autorisations à la normale.

Au début du script de connexion, il devrait également y avoir une vérification pour réinitialiser les autorisations à la normale dans le cas où le script de déconnexion a échoué.

Il existe une variété d'outils ACL à utiliser: ICACLS, FileAcl, SETACL.

Déterminer le chemin correct peut être effectué à l'aide de la syntaxe PowerShell suivante:

[Environment]::GetFolderPath("DesktopDirectory")

Cela devrait être utilisé pour que l'opération soit effectuée sur l'emplacement redirigé et non à l'emplacement local.

Pour obtenir une liste de tous les emplacements de dossiers spéciaux de l'environnement:

[Environment+SpecialFolder]::GetNames([Environment+SpecialFolder])

Qui retourne typiquement:

Bureau
Programmes
Personnel
Mes documents
Favoris
Commencez
Récent
Envoyer à
Le menu Démarrer
Ma musique
DesktopDirectory
Mon ordinateur
Modèles
Application Data
LocalApplicationData
InternetCache
Biscuits
Histoire
Communapplicationdata
Système
Fichiers de programme
Mes images
Communprogramfiles

Notez qu'il existe à la fois des dossiers spéciaux de bureau et de bureau et desktopdirectory.

Voici une commande d'échantillon PowerShell pour utiliser FileAcl Définir le dossier Desktop pour lire et exécuter un utilisateur:

$user = [System.Environment]::ExpandEnvironmentVariables("%USERDOMAIN%\%USERNAME%")
$exe = "C:\util\FileAcl\FileAcl.exe "
$arg1 = [System.Environment]::GetFolderPath("DesktopDirectory")
$arg2 = "/S"
$arg3 = "`"NT AUTHORITY\SYSTEM`":F"
$arg4 = "/S"
$arg5 = "`"" + $user + "`"" + ":RX"
$arg6 = "/S"
$arg7 = "`"BUILTIN\Administrators`":F"
$arg8 = "/REPLACE"
$arg9 = "/PROTECT"
$allArgs = @($arg1, $arg2, $arg3, $arg4, $arg5, $arg6, $arg7, $arg8, $arg9)


&$exe $allArgs

Pour définir le dossier pour modifier la permission pour l'utilisateur, argol serait:

$ arg5 = """ + $user + " "" + ": Rwxd"

2
Greg Askew

Ici, une solution sans la nécessité de modifier les autorisations.

SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag

ThisPCPolicy

REG_SZ

Hide

Cela masque le bureau des options pour sauver comme.

Cette configuration peut être déployée à l'aide d'un GPO.

La source:

http://www.sysadmit.com/2018/03/gpo-impedir-guardar-en-el-escritorio.html

Pour le reste des dossiers, ce serait:

Documents:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {f42ee2d3-909f-4907-8871-4c22fc0bf756} \ PropertyBag

Des photos:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {0ddd015d-b06c-45d5-8c4c-f59713854639} \ PropertyBag

Vidéos:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {35286a68-3c57-41a1-bbb1-0eae73d76c95} \ PropertyBag

Téléchargements:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {7d83ee9b-2244-4e70-b1f5-5393042af1e4} \ PropertyBag

Dossier de musique:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {a0c69a99-21c8-4671-8703-7934162fcf1d} \ PropertyBag

Dossier de bureau:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag
0
Leylo Smith