Как запретить пользователям создавать и удалять файлы и папки на рабочем столе через GPO

lubluhleb,

Только с помощью скриптов и NTFS безопасности.

А вот это не работает? В групповой политике идете в
Конфигурация компьютера -> Конфигурация Windows -> Политики -> Параметры безопасности -> Файловая система -> на ней правой кнопкой -> добавить файл
Внизу в поле "Папка" пишите %USERPROFILE%\Рабочий стол (я пробовал и %USERPROFILE%\Desktop)

Запретить доступ в профиль (а рабочий стол - часть профиля) неможно, иначе explorer будет сбоить.
Можно попробовать ограничить квотами диск + вычищать логон-скриптом содержимое.

Можно попробовать ограничить квотами диск + вычищать логон-скриптом содержимое. »
Неужели это ни как нельзя сделать GPO?

Логон-скрипты замечательно запускаются через GPO.

lubluhleb, уже было сказано:
+ вычищать логон-скриптом содержимое. »

Пишете (или ищите здесь) скрипт, который определяет путь к Рабочему столу текущего пользователя, затем, рекурсивно перебирая все папки и файлы на нём, удаляет любые файлы, не являющиеся ярлыками, удаляет папки (если те в результате очистки оказываются пустыми). Затем средствами GP привязываете этот скрипт на пользователя потребному OU.

обычно в таких случаях делают редайрект рабочему столу куда-то на общую шару (или один стол для всех или для каждого пользователя отдельно) и делают доступ read-only либо в файловой системе Read-only... всегда работало... можно конечно и скриптами, менять пермишен на рабочий стол пользователей по OU или Security Group (кому что удобнее)