Ограничьте пользователя в том, чтобы экономить на их Рабочем столе, Моих Документах, Моей Музыке, Моих Видео, Моих Изображениях и т.д. через GPO
не в "нормальной" установке, но возможный, если Вы выполняете сетку или кластерный механизм. Просто скопируйте по сценарию и выполните его
оставить сценарий, работающий просто daemonize (выполненным в фоне с stdin и redireced к/dev/null) т.е.
ssh remotehost "команда>/dev/null 2> &1 </dev/null и"
если Вы хотите ожидать, но сделать другой материал затем использует, ожидают как с локальными процессами
ssh firsthost command &
ssh secondhost othercommand &
...
wait
Это очень просто, если вы используете Windows Server 2008.
- Создайте объект групповой политики, перейдите в
Конфигурация компьютера>Policy>Windows Settings>Security Settings>File System - Right click and add
%userprofile%\Desktop....etc for the different folders that you want to restrict access to. - Specify the rights for the specified folder(s) for users or user groups.
Это возможно с помощью сценария входа в систему, но это немного сложно и потребует тестирования, чтобы убедиться, что он правильно работает в целевой среде. Он делает предположения о записях ACE в ACL (система, администраторы и пользователь) и о том, что пользователь является владельцем (как правило, они таковыми являются). Это не пуленепробиваемая защита, но она может помочь свести к минимуму случайный сценарий «сохранить 2 ГБ iso-файла в папку рабочего стола перемещаемого профиля».
В общих чертах, когда пользователь входит в систему, в конце последнего сценария входа в систему, ACL для их рабочего стола и других мест, чтобы у них были разрешения на чтение и выполнение.
В сценарии logOFF верните разрешения к нормальному состоянию.
В начале сценария входа в систему, также должна быть проверка для сброса разрешений в нормальное состояние в случае сбоя сценария выхода из системы.
Существует множество инструментов ACL: icacls, fileacl, setacl.
Определение правильного пути может быть выполнено с использованием следующего синтаксиса PowerShell:
[Environment]::GetFolderPath("DesktopDirectory")
Его следует использовать, чтобы гарантировать, что операция выполняется в перенаправленном местоположении, а не в локальном.
Чтобы получить список всех расположений специальной папки среды:
[Environment+SpecialFolder]::GetNames([Environment+SpecialFolder])
Обычно возвращается:
Рабочий стол
Программы
Личный
Мои документы
Избранное
Запуск
Недавние
Отправить
StartMenu
MyMusic
DesktopDirectory
Мой компьютер
Шаблоны
ApplicationData
LocalApplicationData
InternetCache
Файлы cookie
История
CommonApplicationData
Система
ProgramFiles
MyPictures
CommonProgramFiles
Обратите внимание, что существуют специальные папки Desktop и DesktopDirectory.
Вот пример команды PowerShell для использования FileAcl, устанавливающей для папки рабочего стола значение «Чтение и выполнение» для пользователя:
$user = [System.Environment]::ExpandEnvironmentVariables("%USERDOMAIN%\%USERNAME%")
$exe = "C:\util\FileAcl\FileAcl.exe "
$arg1 = [System.Environment]::GetFolderPath("DesktopDirectory")
$arg2 = "/S"
$arg3 = "`"NT AUTHORITY\SYSTEM`":F"
$arg4 = "/S"
$arg5 = "`"" + $user + "`"" + ":RX"
$arg6 = "/S"
$arg7 = "`"BUILTIN\Administrators`":F"
$arg8 = "/REPLACE"
$arg9 = "/PROTECT"
$allArgs = @($arg1, $arg2, $arg3, $arg4, $arg5, $arg6, $arg7, $arg8, $arg9)
&$exe $allArgs
Чтобы установить для папки разрешение на изменение для пользователя, arg5 будет иметь вид:
$ arg5 = " "" + $ user + "" "+": RWXD "
Здесь решение без необходимости изменять разрешения.
SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag
ThisPCPolicy
REG_SZ
Hide
Это скрывает рабочий стол с параметрами для сохранения как.
Эта конфигурация может быть развернута с использованием GPO.
Источник:
http://www.sysadmit.com/2018/03/gpo-impedir-guardar-en-el-escritorio.html
Для остальных папок это будет:
Документы:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {f42ee2d3-909f-4907-8871-4c22fc0bf756} \ PropertyBag
Изображения:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {0ddd015d-b06c-45d5-8c4c-f59713854639} \ PropertyBag
Видео:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {35286a68-3c57-41a1-bbb1-0eae73d76c95} \ PropertyBag
Загрузки:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {7d83ee9b-2244-4e70-b1f5-5393042af1e4} \ PropertyBag
Папка с музыкой:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {a0c69a99-21c8-4671-8703-7934162fcf1d} \ PropertyBag
Папка на рабочем столе:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions \ {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} \ PropertyBag