none
Bloccare scrittura su profilo utente e disco rigido RRS feed

  • Domanda

  • Ciao a tutti,

    sto cercando di configurare un profilo di dominio in cui l'utente non abbia la possibilità di scrivere ne sul proprio profilo ne su disco rigido. Ho provato a impedire la visualizzazione di tutti gli oggetti sul desktop. Diciamo che funziona, ma mi inibisce la visualizzazione anche alcuni file che vengono passati tramite gpo tipo link etc, e comunque dalla cartella esplora risorse posta sulla barra delle applicazioni poi si può accede al percorso c:\users\desktop e si può scrivere. Attualmente è impostato un profilo centralizzato quindi anche se l'utente scrive sul desktop al successivo riavvio i dati vengono cancellati

    lo scenario è

    client win 7

    dominio win 12

    grazie

    venerdì 19 giugno 2015 10:11

Risposte

  • Fare in modo che l'utente non possa scrivere in alcun modo nel suo profilo locale, potrebbe imperdire il corretto funzionamento di alcuni ( probabilmente la maggioranza ) applicativi, normalmente i programmi hanno necessità di scrivere almento nella temp e nella chiave di registro HKCU ...

    Detto questo, potresti bloccare il profilo usando le GPO o uno script di logon che modificheranno il permessi sul file system del gruppo degli utenti "limitati".

    gpo https://technet.microsoft.com/it-it/library/cc756952%28v=ws.10%29.aspx

    logon script:  https://technet.microsoft.com/it-it/library/cc781361%28v=ws.10%29.aspx icacls.exe per la modifica (se l'utente è in gamba si potrebbe risistemare le permission...)

    Rimane il fatto che permission così restrittive non garantiranno una frubilità "normale" e una serie di effetti collaterali saranno dietro l'angolo...

    Forse i mandatory profile che stai utilizzando sono l'unica soluzione attuabile agevolmente.

    Ciao


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere




    domenica 21 giugno 2015 15:16
    Moderatore

Tutte le risposte

  • Fare in modo che l'utente non possa scrivere in alcun modo nel suo profilo locale, potrebbe imperdire il corretto funzionamento di alcuni ( probabilmente la maggioranza ) applicativi, normalmente i programmi hanno necessità di scrivere almento nella temp e nella chiave di registro HKCU ...

    Detto questo, potresti bloccare il profilo usando le GPO o uno script di logon che modificheranno il permessi sul file system del gruppo degli utenti "limitati".

    gpo https://technet.microsoft.com/it-it/library/cc756952%28v=ws.10%29.aspx

    logon script:  https://technet.microsoft.com/it-it/library/cc781361%28v=ws.10%29.aspx icacls.exe per la modifica (se l'utente è in gamba si potrebbe risistemare le permission...)

    Rimane il fatto che permission così restrittive non garantiranno una frubilità "normale" e una serie di effetti collaterali saranno dietro l'angolo...

    Forse i mandatory profile che stai utilizzando sono l'unica soluzione attuabile agevolmente.

    Ciao


    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere




    domenica 21 giugno 2015 15:16
    Moderatore
  • Ciao,

    vedi se questo ti puó servire


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    domenica 21 giugno 2015 19:01
  • ok grazie,

    in effetti il profilo centralizzato a quanto pare va rivalutato

    martedì 23 giugno 2015 14:13