web-dev-qa-db-ja.com

GPO

次のタスクを実行したい:ユーザーは、デスクトップ、マイドキュメント、マイミュージック、マイビデオ、マイピクチャなどに保存する権限を持っていてはなりません。

GPOを介してすべてのドライブを防止および非表示にしています。ただし、ユーザーは引き続き上記の場所にファイルを保存できます。

サーバーOS:Windows Server 2008 R2

クライアントOS:Windows XP、Windows VistaおよびWindows 7

windows-server-2008-r2windows-7group-policywindows-xpwindows-vista
7
Param

Windows Server 2008を使用している場合は非常に簡単です。

  1. グループポリシーオブジェクトを作成し、Computer Configuration> Policy> Windows Settings> Security Settings> File Systemに移動します
  2. 右クリックして、アクセスを制限するさまざまなフォルダに%userprofile%\Desktop .... etcを追加します。
  3. ユーザーまたはユーザーグループに対して、指定したフォルダーの権限を指定します。
5
user124890

これはログオンスクリプトで可能ですが、少し注意が必要であり、ターゲット環境で正しく機能することを確認するにはテストが必要です。これは、ACLのACEエントリ(システム、管理者、およびユーザー)について、およびユーザーが所有者(通常は所有者)であることを前提としています。これは完全なセキュリティではありませんが、カジュアルな「2 GBのISOファイルをローミングプロファイルデスクトップフォルダに保存する」というシナリオを最小限に抑えるのに役立ちます。

大まかに言うと、ユーザーがログオンすると、最後のログオンスクリプトの最後に、デスクトップと他の場所にACLを適用して、読み取りと実行のアクセス許可を付与します。

LogOFFスクリプトで、権限を通常に戻します。

LogONスクリプトの開始時に、ログオフスクリプトが失敗した場合に権限を通常にリセットするためのチェックも必要です。

使用するさまざまなACLツールがあります:icacls、fileacl、setacl。

正しいパスの決定は、次のPowerShell構文を使用して実行できます。

[Environment]::GetFolderPath("DesktopDirectory")

これは、操作がローカルの場所ではなく、リダイレクトされた場所で実行されるようにするために使用する必要があります。

すべての環境特殊フォルダーの場所のリストを取得するには:

[Environment+SpecialFolder]::GetNames([Environment+SpecialFolder])

通常は次を返します:

デスクトップ
プログラム
個人
私の文書
お気に入り
起動
最近
に送る
スタートメニュー
私の音楽
DesktopDirectory
ぼくのコンピュータ
テンプレート
アプリケーションデータ
LocalApplicationData
インターネットキャッシュ
クッキー
歴史
CommonApplicationData
システム
プログラムファイル
私の写真
CommonProgramFiles

DesktopとDesktopDirectoryの両方に特別なフォルダーがあることに注意してください。

FileAclを使用してユーザーのデスクトップフォルダーを読み取りと実行に設定するPowerShellコマンドの例を次に示します。

$user = [System.Environment]::ExpandEnvironmentVariables("%USERDOMAIN%\%USERNAME%")
$exe = "C:\util\FileAcl\FileAcl.exe "
$arg1 = [System.Environment]::GetFolderPath("DesktopDirectory")
$arg2 = "/S"
$arg3 = "`"NT AUTHORITY\SYSTEM`":F"
$arg4 = "/S"
$arg5 = "`"" + $user + "`"" + ":RX"
$arg6 = "/S"
$arg7 = "`"BUILTIN\Administrators`":F"
$arg8 = "/REPLACE"
$arg9 = "/PROTECT"
$allArgs = @($arg1, $arg2, $arg3, $arg4, $arg5, $arg6, $arg7, $arg8, $arg9)


&$exe $allArgs

フォルダーをユーザーの変更権限に設定するには、arg5は次のようになります。

$ arg5 = """ + $user + " "" + ":RWXD"

2
Greg Askew

ここでは、権限を変更する必要のないソリューションです。

SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag

ThisPCPolicy

REG_SZ

Hide

これにより、保存するオプションのデスクトップが非表示になります。

この構成は、GPOを使用して展開できます。

ソース:

http://www.sysadmit.com/2018/03/gpo-impedir-guardar-en-el-escritorio.html

残りのフォルダについては、次のようになります。

文書:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {f42ee2d3-909f-4907-8871-4c22fc0bf756} \ PropertyBag

ピクチャー:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {0ddd015d-b06c-45d5-8c4c-f59713854639} \ PropertyBag

ビデオ:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {35286a68-3c57-41a1-bbb1-0eae73d76c95} \ PropertyBag

ダウンロード:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {7d83ee9b-2244-4e70-b1f5-5393042af1e4} \ PropertyBag

音楽フォルダ:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {a0c69a99-21c8-4671-8703-7934162fcf1d} \ PropertyBag

デスクトップフォルダ:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag
0
Leylo Smith