none
GPO как запретить запись\создание папок доменным пользователям в корень диска С RRS feed

  • Вопрос

  • Добрый день

    по умолчанию доменный пользователь может создавать папки\копировать файлы в корень диска С:

    у domain users есть права только на чтение\выполнение, но есть еще "Прошедшие проверку"(Authenticated users) пользователи, у которых есть права на создание папок\файлов в корне диска. Если эти права ЛОКАЛЬНО понизить до чтения\выполнения, то и доменный пользователь не сможет создавать файлы\папки.

    Вопрос как в Групповой политике задать правило, чтобы по умолчанию у "Прошедшие проверку"(Authenticated users) пользователя были права только на чтение\выполнение?

    или

    Как запретить domain users создание файлов\папок в корне диска С: с помощью GPO?

Ответы

  • Создайте объект политики MyCompany Permissions Policy и подключите к требуемому подразделению.

    Внутри политики откройте контейнер Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System

    Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read)

    Через 90-+30 минут все машины, учётные записи которых хранятся в этом подразделении, применят политику.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    • Предложено в качестве ответа Sergey33Rus 24 мая 2012 г. 11:36
    • Помечено в качестве ответа Dunyashev Rafail 24 мая 2012 г. 12:19
    Отвечающий

Все ответы

  • Создайте объект политики MyCompany Permissions Policy и подключите к требуемому подразделению.

    Внутри политики откройте контейнер Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System

    Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read)

    Через 90-+30 минут все машины, учётные записи которых хранятся в этом подразделении, применят политику.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    • Предложено в качестве ответа Sergey33Rus 24 мая 2012 г. 11:36
    • Помечено в качестве ответа Dunyashev Rafail 24 мая 2012 г. 12:19
    Отвечающий
  • а при этом они смогут писать в раб стол, мои доки?
  • спасибо! все работает!
    • Предложено в качестве ответа Pavel_2008 8 октября 2019 г. 11:24
  • могут, как раз такая задача и стояла, чтобы пользователи могли работать ТОЛЬКО с папкой Мои Документы
  • Создайте объект политики MyCompany Permissions Policy и подключите к требуемому подразделению.

    Внутри политики откройте контейнер Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System

    Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read)

    Через 90-+30 минут все машины, учётные записи которых хранятся в этом подразделении, применят политику.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    ВОПРОС . После применения данных  настроек  , вернуть в первоначальное состояния как ? вопрос для теста . Из контрольной точки созданной до применения данного дейсвия не поучится ?


    windows server 2008R2 standart AD+DNS+DHCP , клиенты W7 pro

    1 декабря 2012 г. 11:55
  • NTFS Permissions обратно не возвращаются. Можно только переопределить новые Permissions.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    10 декабря 2012 г. 8:46
    Отвечающий
  • Создайте объект политики MyCompany Permissions Policy и подключите к требуемому подразделению.

    Внутри политики откройте контейнер Computer Configuration -> Policies -> Windows Settings -> Security Settings -> File System

    Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read)

    Через 90-+30 минут все машины, учётные записи которых хранятся в этом подразделении, применят политику.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA; CCSI

    Сделал как указанно, но это не возымело эффекта. Правда, есть некое отличие - делалось это для терминального кластера с применением "замыкания групповой политики".
    Не подскажите, уважаемые, как быть?
    3 июня 2014 г. 13:57