Как запретить создание файлов на рабочем столе windows 7
Вопрос
Доброго времени суток.
Имеется Windows Server 2008 R2 Rus. Поднята AD. В сетке 10 компьютеров. Пользователи имеют доменные учетки. За каждым компом иногда сидят разные пользователи.
Я как админ уже устал устно просить сотрудников не сохранять ничего на рабочем столе, никакие разъяснительные работы с сотрудниками не помогают на протяжении нескольких лет, а менеджеры — отдельная тема — у нас их постоянная текучка и каждому объяснять бесполезно. Садятся они то за один комп, то за другой и сохраняютна рабочем столе файлы, а потом не могут их найти. Т.к. сохраняли на рабочем столе за одним компом, а ищут на рабочем столе другого компа. У нас рекламное агентство и на рабочем столе сохраняются частенько тяжелые файлы по 100-500 мегабайт. Требуется решение, где не нужно создавать перемещаемые профили. Может и придем мы к перемещаемым профилям позже. Скрипты, которые удаляют при загрузке или перезагрузке компа все файлы на рабочем столе предлагать не стоит. Удалять нам ничего не нужно, так мы можем потерять ценные файлы, и ущерб от этого может выйти в копеечку.
А теперь вопрос: Как с помощью групповых политик запретить пользователям сохранять что-либо на рабочем столе?
P.S. В интернете толкового ответа не нашел. Нашел один способ, но у меня не получилось. Вот сам способ, посмотрите, может что не так написали или я что не так сделал или недопонял:
В групповой политике идете в
Конфигурация компьютера -> Конфигурация Windows -> Политики -> Параметры безопасности -> Файловая система -> на ней правой кнопкой -> добавить файл
Внизу в поле «Папка» пишите %USERPROFILE%\Рабочий стол (я пробовал и %USERPROFILE%\Desktop)
откроется окно «Безопасность». В нем добавляете нужных пользователей или группы (я добавил ПОЛЬЗОВАТЕЛИ, пробовал и ПОЛЬЗОВАТЕЛИ ДОМЕНА)и для них в Дополнительно -> Изменить ставите галочку «Запретить» на против пунктов «Создание файлов/ запись данных» и «Создание папок / дозапись данных». Существующие данные можно будет только перенести/удалить. Ничего нового записать не удастся. Если нужно будет добавить ярлыки или что-то еще, то это надо будет выполнить под учетной записью, на которую не распространяется запрет. Стоит добавить, что в разделе безопасность той же вкладки «дополнительно» надо выставить запрещающе правила «Только для подпапок и файлов».
GPO — Запрет записи на рабочий стол пользователя
Имеется контролер домена на базе server2008R2. Необходимо запретить запись файлов на рабочий стол для группы пользователей. Профайлы не перемещаемые. Определяю следующие политики:
% UserProfile % \Рабочий стол
% UserProfile % \Desktop
Никак не применяются.
% SystemDrive % \Users\ts1\Desktop
% SystemDrive % \testfolder
Почему?
Потому что, %userprofile% «появляется» после того, как пользователь залогинется.
А GPO отрабатывает на ветке компьютер тогда, когда ещё никто НЕ залогинился.
Поэтому, менять права на папку Рабочий стол, лучше через GPO, либо через планировщик по событию «Вход в систему». При этом надо помнить следующее:
При отсутствии профиля пользователя на компьютере он должен сначала создаться, а политика может отработать раньше и поэтому изменения прав могут произойти только после перелогина.
Некоторые приложения, при первом заходе пользователя любят создавать свои ярлыки на рабочем столе, запрет записи может повлиять на работоспособность таких приложений, потому как им будет запрещено создавать ярлыки и скрипт инициализации такого приложения нормально может не отработать (Автокад таким баловался раньше).
Проблему можно решить скриптом на Logon в конфигурации пользователя. Политику привязываете к нужной вам OU с фильтром по безопасности (требуемая группа пользователей):
set CAC = % windir % \system32\CACLS.exe
set CN = % COMPUTERNAME %
set UP = % UserProfile %
set UN = % UserName %
rem Disable RW to folders, enable R
% CAC % % UP %/ Desktop / C / E / P % UN % :R
% CAC % % UP %/ Downloads / C / E / P % UN % :R
% CAC % % UP %/ Documents / C / E / P % UN % :R
% CAC % % UP %/ Music / C / E / P % UN % :R
% CAC % % UP %/ Pictures / C / E / P % UN % :R
% CAC % % UP %/ Videos / C / E / P % UN % :R
В итоге получаем запрет на запись в папках Desktop, Downloads, Documents, Music, Pictures, Videos в Локальном профиле пользователя. Все ранее созданные файлы остаются для чтения, и могут пользователем перенесены в другое место, например диск D.
Запрет сохранения/создания/изменения файлов/папок на Рабочем столе (Windows 7)
Если честно, то надоело самому за собой на собственном ноутбуке следить и прибираться на рабочем столе. Файлы и папки создаются/сохраняются/копируются там со скоростью света в вакууме под отмазкой, что, типа, сейчас не могу потратить 7 миллисекунд на сохранение файлика в другой, предназначенной для него папке. В общем, терпение лопнуло — меры приняты.
1. Следуем по пути С:\Пользователи\ [ имя пользователя ] \
2. Видим папку Рабочий стол -> бъем мышь по правой щеке -> Свойства.
3. Жмакаем «Дополнительно» (внизу справа):
4. В элементах разрешений выбираем пользователя [ имя пользователя ] — нажимаем «Изменить разрешения»:
5. Появляется почти такое же окно. Повторяем пункт 4.
6. Ставим галочки, как показано на рисунке снизу. Установка второй галочки означает также и то, что вы не сможете редактировать что бы то ни было на Рабочем столе. Ну и нефиг (хотя, смотрите сами):
7. Жмем ОК везде, где увидите 🙂 Ждем применения параметров. Готово.
Теперь вы сможете только удалять с Рабочего стола, что само собой являет лишь эволюцию чистоты на вашем компьютере.
Разрешение сохранения/создания/изменения файлов/папок на Рабочем столе
1. Если вдруг вы передумали, или же необходимо добавить какой-либо важный элемент на Рабочий стол, повторяем шаги 1 — 3 предыдущей инструкции
2. В элементах разрешений выбираем элемент с Тип — Запрет, Имя — [ имя пользователя ] и жмем кнопочку «Удалить».
3. Повторяем пункт 7 предыдущей инструкции. Готово.
Теперь вы сможете срать на рабочий стол сколько душе угодно, а когда надоест — удалите с него все нахрен и следуйте первой инструкции. Желаю успехов.