Eu quero realizar a seguinte tarefa: Um usuário não deve ter direitos para salvar em sua Área de Trabalho, Meus Documentos, Minhas Músicas, Meus Vídeos, Minhas Imagens, etc.
Eu já evitei e escondi todas as unidades por meio do GPO. No entanto, o usuário ainda pode armazenar arquivos nos locais listados acima.
SO do servidor: Windows Server 2008 R2
SO do cliente: Windows XP, Windows Vista e Windows 7
É muito fácil se você estiver usando o Windows Server 2008.
Computer Configuration >
Policy > Windows Settings > Security Settings > %código%
File System .... etc para as diferentes pastas às quais você deseja restringir o acesso. Isso é possível com um script de logon, mas é um pouco complicado e exigiria testes para garantir que funcione corretamente no ambiente de destino. Ele faz suposições sobre as entradas da ACE na ACL (sistema, administradores e o usuário) e que o usuário é o proprietário (geralmente são). Não é uma segurança à prova de balas, mas pode ajudar a minimizar o cenário casual "salve um arquivo iso de 2 GB para a pasta da área de trabalho do perfil móvel".
Em traços amplos, quando um usuário faz logon, no final do último script de logon, ACL seu Desktop e outros locais para que eles tenham permissão de leitura e execução.
No script de logoff, reverta as permissões de volta ao normal.
No início do script logON, também deve haver uma verificação para redefinir as permissões para o normal, caso o script de logoff falhe.
Há uma variedade de ferramentas ACL a serem usadas: icacls, fileacl, setacl.
A determinação do caminho correto pode ser executada usando a seguinte sintaxe do PowerShell:
[Environment]::GetFolderPath("DesktopDirectory")
Isso deve ser usado para garantir que a operação seja executada no local redirecionado e não no local.
Para obter uma lista de todos os locais da pasta especial do ambiente:
[Environment+SpecialFolder]::GetNames([Environment+SpecialFolder])
Isso normalmente retorna:
Desktop
Programas
Pessoal Pessoal
MyDocuments
Favoritos
Inicialização
Notícias recentes
SendTo Review
StartMenu
MyMusic
DesktopDirectory
MyComputer
Modelos
ApplicationData
LocalApplicationData
InternetCache
Cookies
História
CommonApplicationData
Sistema
ProgramFiles
MyPictures
CommonProgramFiles
Observe que há pastas especiais Desktop e DesktopDirectory.
Aqui está um exemplo de comando do PowerShell para usar o FileAcl para definir a pasta Desktop como Read and Execute para um usuário:
$user = [System.Environment]::ExpandEnvironmentVariables("%USERDOMAIN%\%USERNAME%")
$exe = "C:\util\FileAcl\FileAcl.exe "
$arg1 = [System.Environment]::GetFolderPath("DesktopDirectory")
$arg2 = "/S"
$arg3 = "'"NT AUTHORITY\SYSTEM'":F"
$arg4 = "/S"
$arg5 = "'"" + $user + "'"" + ":RX"
$arg6 = "/S"
$arg7 = "'"BUILTIN\Administrators'":F"
$arg8 = "/REPLACE"
$arg9 = "/PROTECT"
$allArgs = @($arg1, $arg2, $arg3, $arg4, $arg5, $arg6, $arg7, $arg8, $arg9)
&$exe $allArgs
Para definir a pasta para modificar a permissão do usuário, arg5 seria:
$ arg5=" "" + $user + " " "+": RWXD "
Aqui, uma solução sem a necessidade de modificar as permissões.
SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag
ThisPCPolicy
REG_SZ
Hide
Isso oculta a área de trabalho das opções para salvar como.
Essa configuração pode ser implantada usando um GPO.
Fonte:
Para o restante das pastas, seria:
Documentos:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {f42ee2d3-909f-4907-8871-4c22fc0bf756} \ PropertyBag
Imagens:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {0ddd015d-b06c-45d5-8c4c-f59713854639} \ PropertyBag
Vídeos:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {35286a68-3c57-41a1-bbb1-0eae73d76c95} \ PropertyBag
Downloads:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {7d83ee9b-2244-4e70-b1f5-5393042af1e4} \ PropertyBag
Pasta de músicas:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {a0c69a99-21c8-4671-8703-7934162fcf1d} \ PropertyBag
Pasta da área de trabalho:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag