В организации используем временные профили, на папку с временными профилями были выданы права до меня согласно урокам из интернета:
группа Пользователи домена имела полные права на папку с профилем и подпапки (на папки с профилями), логично что любой пользователь мог открыть любую папку любого пользователя (рабочий стол, мои документы и т.д.)
Тогда я убрал наследование: скриптом каждому пользователю дал права на его папку с его профилем:
С точки зрения защиты стало ОК, но теперь некоторые пользователи, кто на свои тачки, кто на RDP сервер, кто на какой другой сервер заходят с временными профилями, у всех по разному. Не уж то все надо вернуть назад?