主页 / server / 问题 / 397181
Accepted
Param
Asked: 2012-06-10 05:20:12 +0800 CST

限制用户通过 GPO 保存在他们的桌面、我的文档、我的音乐、我的视频、我的图片等

  • 772

我想完成以下任务:用户必须无权保存在他们的桌面、我的文档、我的音乐、我的视频、我的图片等上。

我已经通过 GPO 阻止并隐藏了所有驱动器。但是,用户仍然可以将文件存储在上面列出的位置。

服务器操作系统:Windows Server 2008 R2

客户端操作系统:Windows XP、Windows Vista 和 Windows 7

group-policy windows-vista windows-xp windows-7 windows-server-2008-r2

3 个回答

  1. Best Answer

    如果您使用的是 Windows Server 2008,这很容易。

    1. 创建组策略对象,转到Computer Configuration> Policy> Windows Settings> Security Settings>File System
    2. 右键单击并%userprofile%\Desktop为要限制访问的不同文件夹添加 ....etc。
    3. 为用户或用户组指定指定文件夹的权限。
    • 5

  2. 这可以通过登录脚本实现,但有点棘手,并且需要进行测试以确保它在目标环境中正常工作。它假设 ACL 中的 ACE 条目(系统、管理员和用户),并且用户是所有者(他们通常是)。它不是万无一失的安全措施,但它可以帮助最大程度地减少偶然的“将 2 GB 的 iso 文件保存到漫游配置文件桌面文件夹”的情况。

    概括地说,当用户登录时,在最后一个登录脚本的末尾,对他们的桌面和其他位置进行 ACL,以便他们具有读取和执行权限。

    在 logOFF 脚本中,将权限恢复为正常。

    在 logON 脚本的开始处,还应该进行检查以在注销脚本失败的情况下将权限重置为正常。

    有多种 ACL 工具可供使用:icacls、fileacl、setacl。

    可以使用以下 PowerShell 语法确定正确的路径: 

    [Environment]::GetFolderPath("DesktopDirectory")

    这应该用于确保操作是在重定向位置而不是本地位置上执行的。

    要获取所有环境特殊文件夹位置的列表: 

    [Environment+SpecialFolder]::GetNames([Environment+SpecialFolder])

    这通常会返回:

    桌面
    程序
    Personal
    MyDocuments
    Favorites
    Startup
    Recent
    SendTo
    StartMenu
    MyMusic
    DesktopDirectory
    MyComputer
    Templates
    ApplicationData
    LocalApplicationData
    InternetCache
    Cookies
    History
    CommonApplicationData
    System
    ProgramFiles
    MyPictures
    CommonProgramFiles

    请注意,有 Desktop 和 DesktopDirectory 特殊文件夹。

    以下是使用 FileAcl 将桌面文件夹设置为用户读取和执行的示例 PowerShell 命令: 

    $user = [System.Environment]::ExpandEnvironmentVariables("%USERDOMAIN%\%USERNAME%")
$exe = "C:\util\FileAcl\FileAcl.exe "
$arg1 = [System.Environment]::GetFolderPath("DesktopDirectory")
$arg2 = "/S"
$arg3 = "`"NT AUTHORITY\SYSTEM`":F"
$arg4 = "/S"
$arg5 = "`"" + $user + "`"" + ":RX"
$arg6 = "/S"
$arg7 = "`"BUILTIN\Administrators`":F"
$arg8 = "/REPLACE"
$arg9 = "/PROTECT"
$allArgs = @($arg1, $arg2, $arg3, $arg4, $arg5, $arg6, $arg7, $arg8, $arg9)


&$exe $allArgs

    要将文件夹设置为用户的修改权限,arg5 将是:

    $arg5 = " "" + $user + """ + ":RWXD"

    • 2

  3. 这里有一个不需要修改权限的解决方案。

    SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag

ThisPCPolicy

REG_SZ

Hide

    这隐藏了另存为选项的桌面。

    可以使用 GPO 部署此配置。

    资源:

    http://www.sysadmit.com/2018/03/gpo-impedir-guardar-en-el-escritorio.html

    对于其余文件夹,它将是:

    文件:

    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {f42ee2d3-909f-4907-8871-4c22fc0bf756} \ PropertyBag

    图片:

    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {0ddd015d-b06c-45d5-8c4c-f59713854639} \ PropertyBag

    视频:

    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {35286a68-3c57-41a1-bbb1-0eae73d76c95} \ PropertyBag

    下载:

    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {7d83ee9b-2244-4e70-b1f5-5393042af1e4} \ PropertyBag

    音乐文件夹:

    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {a0c69a99-21c8-4671-8703-7934162fcf1d} \ PropertyBag

    桌面文件夹:

    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag
    • 1

相关问题