то есть у пользователя не должно быть возможности хранение данных на рабочем столе. Как этого добиться, не меняя NTFS разрешений к папке Desktop (Рабочий стол)? » Со времен еще 2к в групполиси есть такая штука как редирект рабочего стола (моих документов и т.д.... добавились пункты в новых серваках) в нужное место - шару например или другой диск... Редиректите через ГП рабстол юзера на шару \\server\desktop_for_all\, заливаете туда нужные ярлыки и запрещаете туда нтфсом запись. Разные юзеры? Разные компы? Так разные шары и ГП. Всё.

Для понимания идеи абстрагируйтесь от майкрасовтовского понятия ТЕРМИНАЛ (RDS или TS). Пример, работа банкоматов и иже подобных систем. »
Куда уж дальше то абстрагироваться? И так все тонкие на ponix, либо thinstation доработанных и урезанных по самое "не балуй". Просто - если есть рабочий стол винды, то есть винда. Если есть винда, к ней можно применить групповые политики, хотя бы локальные(если не в домене). Всё логично. gpmc.msc - в 2012 R2/8.1, gpedit.msc - раньше.

winbond

Я задаю вопрос
Как этого добиться, не меняя NTFS разрешений к папке Desktop »
и отвечаю, что есть способ через реестр.
Вы отвечаете
Редиректите через ГП рабстол юзера на шару \\server\desktop_for_all\, заливаете туда нужные ярлыки и запрещаете туда нтфсом запись. »

Спасибо за напоминание, но
1. При этом ни о каком терминальном сервере (RDS/TS) или перемещаемых профилях с перенаправлением папок речи не идёт »
2. Ну раз уж речь пошла о перенаправлении (редиректе) папок, то возникает вопрос. А какой смысл запрещать пользователю хранить данные на Рабочем столе? Если речь идёт о сохранности данных, их резервном копирование, то они хранятся на файловом сервере (Shared Folder), а следовательно легко бекапяться средствами самого сервера.
3. В случае не доступности (например проблемы с сетью) файлового сервера (Shared Folder) куда перенаправлен рабочий стол, могут возникнуть ошибки при загрузке профиля пользователя. Стало быть нужно настраивать Автономные файлы.
4. рабстол юзера на шару \\server\desktop_for_all\ ». А ещё можно настроить "Обязательный перемещаемый профиль" + перенаправление (редирект) папок.
5. По моему инициатору темы Straiker23, уже давно не интересна сама тема. Так что не вижу смысла её продолжать.

Удачи.

1. Абсолютно пофиг. Способ работает на любой рабочей винде(3.1 не имею ввиду). И, да - о перемещаемых профилях речь при этом способе не ведется.
2. Момент первый: Гадят. Вытаскивают общие доки (а не ярлыки) из общих папок на рабстол и работают с ними "локально". Потом негодуют и мечут икру... или их начальство мечет. Иногда проще запретить, к счастью - всё реже такая надобность возникает.
Момент второй: мобильные пользователи, сегодня они в Мск, завтра в Спб, послезавтра в Китае с китайского компа по VPN. Тоже проблему решает, если с умом подойти. ГП есть и на юзеров, и на компы. Причем на конкретных потребителей можно указать.
3. Решается другими способами (железо, Branch Cache, NLB, другой диск/другая папка на этом же компе...). Не вижу проблем с настройкой автономных файлов. Поставить(или снять) галку - трудно? Или через ГП галки раскидать?
4. Можно
5. Согласен

Удачи тоже.