Как запретить доменным пользователям создание папок в корне диска C?

Question

[Вася Пупкин]

Как при помощи в GPO настроить запрет на всех ПК, чтобы юзеры не могли создавать папки в корне диска C, без изменения остальных прав.

Пытаюсь играться с "Конфигурация компьютера → Политики → Конфигурация Windows → Настройки → Настройки безопасности → Файловая система", но пока безуспешно, видимо что-то упускаю, потому что ломаются остальные права и юзер не может корректно работать.

Comments

[Роман Безруков]

На диске С: в разрешениях есть Authenticated Users? И с какими правами они там?

[Вася Пупкин]

Роман Безруков, скрин с правами в комментарии ниже по тексту.

Answer 1

[Дмитрий]

Запретить authenticated user в корне диска создавать папки. Не наследовать это правло на вложенные папки

Comments

[MVV]

Не надо запрещать. Там, если посмотреть в дополнительнеых параметрах безопасности для Прошедших проверку есть два разрешения. Одно из них - Создание папок/Дозапись данных имет область действия только для этой папки. Надо убрать это разрешение.

[Вася Пупкин]

Я так и делал, но не прокатило, поэтому начал играться с доменными пользователями.

У обычных юзеров же не должно быть прав на создание папок в корне по умолчанию, почему эти права есть я не могу понять и найти где искать.

[Вася Пупкин]

MVV, Я пытался делать вот так.







1. Разве у доменных пользователей должно быть право создавать папки в корне диска С, по идее нет, но они создают, при этом свойства диска С:\ выглядят нормально.
2. При вводе ПК в домен доменные пользователи должны автоматически добавлять в локальную группу "Пользователи"? Может из-за этого у них права есть?

[Кирилл Антонов]

Вася Пупкин, секретный пользователь СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ

[Роман Безруков]

Вася Пупкин, есть такой старый пост - https://m151163.wordpress.com/2012/12/01/gpo-%D0%B...
похоже на то, что вам нужно

[Вася Пупкин]

Роман Безруков, Находил инфу похожую, но после этого у меня доменные юзеры начали входить с временными профилями, хотя я и ставил "Только для этой папки" подразумевая диск С, а не папку юзерс

[Ziptar]

Надо запретить создание папок/дозапись данных "только для этой папки" (корня C) группе доменных пользователей. Прошедших проверку трогать не надо, другие разрешения трогать не надо. Запрет в ntfs приоритетнее разрешения. Впрочем, отсутствие проблем не гарантировано.

[Ziptar]

Вася Пупкин, А в приведенных скринах - на целевых машинах то этот набор прав применяется? Не вполне очевидно для меня, как это работает с %systemdrive%, для корня может и не работать

Answer 2

[Кирилл Антонов]

секретный пользователь СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ

Comments

[Ziptar]

Владелец у корня диска C - TrustedInstaller; при чем здесь он?

[Вася Пупкин]

Ziptar, Я вообще не понял в чем смысл его ответа и как он отвечает на мой вопрос, поэтому просто проигнорировал.