Запретить пользователям сохранять файлы на рабочем столе, в загрузки и другие папки

Пользователи обожают сохранять файлы прямо на рабочий стол, что не только засоряет его, но и создает проблемы администратором при облуживании рабочих станций и серверов. Проблема большого количества пользовательских файлов на Рабочем столе, в папке Загрузки или других стандартных папках профиля пользователя (папках библиотек) может быть особо критична для терминальных RDS серверов, профилях VDI и других сценариях централизованного хранения и резервного копирования профилей пользователей. В этой статье мы рассмотрим, как настроить запрет сохранения (создания) новых файлов на рабочем столе (или в другой служебной папки библиотеки) для пользователей Windows.

Сначала покажем, как вручную изменить NTFS разрешения на папку Desktop в профиле так, чтобы пользователю было запрещено создавать (сохранять) новые файлы.

Перейдите на вкладу Security, кнопка Advanced -> отключите наследование (Disable Inheritance). Выберите имя пользователя в списке и нажмите Edit. Включите отображение расширенных разрешений (Show advanced permissions).

Отключите NTFS права Create files/write data и Create Folders /append data. Проверьте, что эти права применяются для всех вложенных папок и файлов (Applies to: This folder subfolders and files).

Сохраните изменения.

Пользователь сможет читать файлы, но не создавать/изменять их. Теперь при попытке создать или скопировать файл на рабочий стол у пользователя появится ошибка доступа и UAC запрос на повышение привилегий до администратора.

You’ll need to provide administrator permissions to copy to this folder.

Destination folder access denied

С помощью утилиты icacls можно выставить явный запрет на запись файлов на рабочий стол.

icacls "%USERPROFILE%Desktop" /reset /T /C /Q

icacls "%USERPROFILE%Desktop" /inheritance:d /T /C /Q

icacls "%USERPROFILE%Desktop" /deny %USERNAME%:(OI)(CI)(WD,WA) /T /C /Q

Однако, продвинутый пользователь, оставаясь владельцем папки Desktop, сможет отменить такой запрет.

Рассмотрим, как внедрить запрет на сохранение файлов на рабочий стол (или другие местоположения) с помощью групповых политик в домене Active Directory. Идея в том, что мы можем при входе пользователя через GPO выполнить логон скрипт, который запретит ему запись на нужные папки.

1. Откройте консоль управления доменными групповыми политиками gpmc.msc
2. Создайте новую GPO и перейдите в режим ее редактирования
3. Перейдите в раздел User Configuration -> Policies -> Windows Settings -> Script (logon/Logoff) -> Logon
4. Создайте файл denydesktopwrite.bat и скопируйте в него код, приведений выше.
5. Сохраните настройки GPO и назначьте ее на OU с пользователями.
6. Перезагрузите компьютер пользователя, чтобы применить новые настройки политик.
7. Проверьте, что запрет на запись на рабочий стол активен.

По аналогии можно настроить запрет на запись/сохранение файлов в другие папки библиотек в профиле пользователя. Например, запретить сохранять файлы в папку Downloads, Music и т.д..