Как запретить доменным пользователям создание папок в корне диска C?
Как при помощи в GPO настроить запрет на всех ПК, чтобы юзеры не могли создавать папки в корне диска C, без изменения остальных прав.
Пытаюсь играться с "Конфигурация компьютера → Политики → Конфигурация Windows → Настройки → Настройки безопасности → Файловая система", но пока безуспешно, видимо что-то упускаю, потому что ломаются остальные права и юзер не может корректно работать.
Не надо запрещать. Там, если посмотреть в дополнительнеых параметрах безопасности для Прошедших проверку есть два разрешения. Одно из них - Создание папок/Дозапись данных имет область действия только для этой папки. Надо убрать это разрешение.
1. Разве у доменных пользователей должно быть право создавать папки в корне диска С, по идее нет, но они создают, при этом свойства диска С:\ выглядят нормально.
2. При вводе ПК в домен доменные пользователи должны автоматически добавлять в локальную группу "Пользователи"? Может из-за этого у них права есть?
Роман Безруков, Находил инфу похожую, но после этого у меня доменные юзеры начали входить с временными профилями, хотя я и ставил "Только для этой папки" подразумевая диск С, а не папку юзерс
Надо запретить создание папок/дозапись данных "только для этой папки" (корня C) группе доменных пользователей. Прошедших проверку трогать не надо, другие разрешения трогать не надо. Запрет в ntfs приоритетнее разрешения. Впрочем, отсутствие проблем не гарантировано.
Вася Пупкин, А в приведенных скринах - на целевых машинах то этот набор прав применяется? Не вполне очевидно для меня, как это работает с %systemdrive%, для корня может и не работать