Saltar al contenido

Restrinja al usuario para que no guarde en su Escritorio, Mis documentos, Mi música, Mis videos, Mis imágenes, etc. a través de GPO

Solución:

Solución 1:

Es muy fácil si está utilizando Windows Server 2008.

  1. Cree un objeto de política de grupo, vaya a Computer Configuration >
    Policy > Windows Settings > Security Settings > File System
  2. Haga clic derecho y agregue %userprofile%Desktop …. etc para las diferentes carpetas a las que desea restringir el acceso.
  3. Especifique los derechos de las carpetas especificadas para usuarios o grupos de usuarios.

Solucion 2:

Esto es posible con un script de inicio de sesión, pero es un poco complicado y requeriría pruebas para asegurarse de que funciona correctamente para el entorno de destino. Hace suposiciones sobre las entradas de ACE en la ACL (sistema, administradores y el usuario) y que el usuario es el propietario (normalmente lo son). No es una seguridad a prueba de balas, pero puede ayudar a minimizar el escenario casual de “guardar un archivo iso de 2 GB en la carpeta del escritorio del perfil móvil”.

A grandes rasgos, cuando un usuario inicia sesión, al final de la última secuencia de comandos de inicio de sesión, ACL su escritorio y otras ubicaciones para que tenga permiso de lectura y ejecución.

En el script logOFF, revierte los permisos a la normalidad.

Al inicio de la secuencia de comandos de inicio de sesión, también debe haber una verificación para restablecer los permisos a la normalidad en caso de que la secuencia de comandos de cierre de sesión falle.

Hay una variedad de herramientas de ACL para usar: icacls, fileacl, setacl.

La determinación de la ruta correcta se puede realizar mediante la siguiente sintaxis de PowerShell:

[Environment]::GetFolderPath("DesktopDirectory")  

Eso debe usarse para garantizar que la operación se realice en la ubicación redirigida y no en la ubicación local.

Para obtener una lista de todas las ubicaciones de Carpetas especiales de entorno:

[Environment+SpecialFolder]::GetNames([Environment+SpecialFolder])  

Eso normalmente devuelve:

Escritorio
Programas
Personal
Mis documentos
Favoritos
Puesta en marcha
Reciente
Enviar a
Menu de inicio
Mi música
EscritorioDirectorio
Mi computadora
Plantillas
Datos de la aplicación
LocalApplicationData
Caché de Internet
Galletas
Historia
CommonApplicationData
Sistema
Archivos de programa
Mis fotos
CommonProgramFiles

Tenga en cuenta que existen carpetas especiales Desktop y DesktopDirectory.

A continuación, se muestra un comando de PowerShell de muestra para usar FileAcl y configurar la carpeta Escritorio en Lectura y ejecución para un usuario:

$user = [System.Environment]::ExpandEnvironmentVariables("%USERDOMAIN%%USERNAME%")
$exe = "C:utilFileAclFileAcl.exe "
$arg1 = [System.Environment]::GetFolderPath("DesktopDirectory")
$arg2 = "/S"
$arg3 = "`"NT AUTHORITYSYSTEM`":F"
$arg4 = "/S"
$arg5 = "`"" + $user + "`"" + ":RX"
$arg6 = "/S"
$arg7 = "`"BUILTINAdministrators`":F"
$arg8 = "/REPLACE"
$arg9 = "/PROTECT"
$allArgs = @($arg1, $arg2, $arg3, $arg4, $arg5, $arg6, $arg7, $arg8, $arg9)


&$exe $allArgs  

Para configurar la carpeta para modificar el permiso para el usuario, arg5 sería:

$ arg5 = “"" + $user + "“” + “: RWXD”

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *