Добрый день.
развернут АД 2012. Нужно сделать ограничение конкретного пользователя - т.е. чтобы пользователь имел доступ только к сетевой папке и только там мог делать изменения (это сделано)а вот чтобы на рабочем столе ничего не мог создать или скопировать туда - вот над этим тружусь уже 2 дня. Никак не могу понять где вообще такое делается?? облазил кучу форумов. Подскажите пожалуйста.

gpo

@GPO@ а можно немного конкретики... там очень много разделов, я даже не могу предположить в каком из них ответ на мой вопрос :dont-know

Рабочий стол - та же папка, к которой можно сделать ограничения, имхо.

если для одного пользователя, то да.
в настройках безопасности папки

Ограничить запись пользователем данных в пределах его профиля (%UserProfile%\Desktop) невозможно.

Straiker23, в пределах одного компьютера делается очень легко. Однако, у пользователя не должно быть административных прав, ибо он всё вернёт назад.
1) по сети подключаетесь к его компьютеру \\pc_name\C$\users\ваш_пользователь\Desktop
2) смотрите свойства папки Desktop - удалить наследование прав с копированием прав.
3) смотрите права для учётной записи "ваш_пользователь"
4) Дополнительно - снимаете права со следующих пунктов:
http://fs.exonix.ru/2012/file-service/perm1.png
Тогда пользователь получит следующую ошибку при попытке изменить что-либо на рабочем столе:
http://fs.exonix.ru/2012/file-service/perm2.png

Если ограничить для всех компьютеров, то, возможно, можно использовать перенаправляемую папку (http://www.exonix.ru/?ffz8iqfdebxezrdyrenviub.htm). Но я не проверял, в отличие от первого метода.

exo, плохой совет. Если пользователь пойдет с другого компа, то не прокатит. А если у юзера комп сменится? А если вы ему смените? Руками менять?! Скриптами? Увольте )
Для основной массы пользователей - лучше пользовать терминал-серверы. Бухи тоже катят, если у них нет доступа к банк-клиент программам. 1С, IE, word, excel, outlook, acrobat reader, 7 zip - это всё клиенты ТС. Дешево и сердито. Пара-тройка других общих программ. Почему нет в списке опенов? Ну вот когда они сделают .admx, тогда и поговорим под это. Пока там никому(кому?) это не нать, значит и нам не нать.
Профили на отдельном сервере (у нас было изначально на дебиан 6, но намучались если честно с 2к, на 2к8 пошло получше, но в обратку - так что проще(дешевле) на винде). ТС может быть несколько (2 обычно или 3) - делаем лоадбалансинг. Вообще шикарно.
По нашим подсчетам, если пользователей не менее 50ти - подобное катит. Если меньше - дешевле на десктопах. На линухах совсем дорого.

P.S. На 7/8 GPO расширены. В 8.1 еще расширены.

Если пользователь пойдет с другого компа, то не прокатит. А если у юзера комп сменится? А если вы ему смените? Руками менять?! Скриптами? »
можно использовать перенаправляемую папку»

Не очень удобно. Редиректим май докс и рабочий стол - а это до 10-20 гигов как нефиг делать. Но юзеры на рабстанциях - VIP и не дай бог у них пропадет dhcp в неподходящее время (выставлено резервирование; пропажа случается, с последствиями). А еще у них дурная привычка кататься по городам и пробовать заходить с первого попавшегося компа. Терминал и рабстанцию не различают в упор. Бррр ( С новыми 2012(пока 2008 R2) будет много приличнее, опробовали активную реплику dhcp - шикарно просто, я сцал кипятком :) Начал присматриваться, нехорошо так, к VDI.

Редиректим май докс и рабочий стол - а это до 10-20 гигов как нефиг делать. »
ну и что?
у них пропадет dhcp в неподходящее время (выставлено резервирование; пропажа случается, с последствиями) »
кто мешает настроить второй DHCP, при этом что в 2012 много чего интересного есть.
А еще у них дурная привычка кататься по городам и пробовать заходить с первого попавшегося компа. »
в условиях поставленной задачи это не обозначено.

exo, извини, есть желание отойти на полгодика от дел. Чет всё достало, с трудом обратку воспринимаю. И понимаю, как следует. Ты в большинстве прав, просто у тебя пойдет потом нечто больше чем "тупо скрины с объяснениями". Сорри. Выпилюсь самостоятельно лучше, на некоторое время. Знаю что это не тема - лень уже искать ту нужную тему просто.

тупо скрины с объяснениями»
если ты такой вумный - может своё решение предложишь? а то только треплешься...

Прошу прощения господа, что вмешиваюсь в Ваш интеллектуальный спор.

Хоте бы предложить несколько иной подход к решению задачи. Его абсолютной жизнеспособности не гарантирую, но на тестовой машинке попробовать можно. Авось сгодиться. Копать предлагаю в сторону реестра.

Приведу несколько ключиков, которые могут помочь

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDesktop"=dword:00000001 ;Запретить рабочий стол
"NoViewContextMenu"=dword:00000001 ;Сделать недоступным контекстное меню Проводника
"NoTrayContextMenu"=dword:00000001 ;Запретить контекстное меню Панели задач

P.S. мне ещё во времена XP удавалась превращать таким образом рабочие станции в тупой терминал, шаг влево, шаг в право - облом. Не думаю что в Windows 7,8 сильно что поменялось, но проверить стоит.
Так же прикреплю REG файл с большим количеством настроек.
Кстати и через GPO можно распространить необходимые ключи, например через Предпочтения (Preferences).

exo, извини, в личку отписался. ratibor79, на ТС левые реги - только для сумасшедшего или очень близкого друга (сумасшедшего). Вероятно проще убить профиль и сделать новый. Вчера столкнулся, что человек из пункта А по рдп в пункт Б (за 350км) терпит фэйл с принтером. При этом все его остальные коллеги никаких проблем с принтером не имеют. Оказалось что у чела поза-поза(сам путается)позавчера глюкануло "что-то что он не успел прочитать прежде, чем нажал кнопку ок". Нам он, естественно, про такой пустяк не сказал. Убили профиль. Майдокс и рабстол с шары. Пара настроек. Минимум телодвижений - все ок. 2 часа на выявление причины - какой-то глюк. Ок - у нас "какой-то глюк" = глюк по вашей вине, если вы не представили скриншот или не позвали айтишника в глюковский момент (нелегко далось, 3 года седины). Но зато очень убрало всякую фигню - потерял доки? Наша парень/тетя проблема, но ты за это платишь из своего кармана. Быстро стараются учиться работать, а не платить из своего.

winbond,

Вопрос как стоял?

развернут АД 2012. Нужно сделать ограничение конкретного пользователя - т.е. чтобы пользователь имел доступ только к сетевой папке и только там мог делать изменения (это сделано)а вот чтобы на рабочем столе ничего не мог создать или скопировать туда »

Я предложил вариант (не ахти какой, но всё же) - тупо отключить рабочий стол для пользователя через реестр. А также сделал поправочку, о том что сие манипулирование я проделывал с простой Windows XP. Вот и всё, а ты сразу "сумасшедший".
К тому же под словом ТЕРМИНАЛ я подразумевал именно рабочую станцию, которая работает с ограниченными возможностями пользовательского интерфейса. А не RDS (или как ранее Terminal Service).

А ты, извини меня, про свои терки с пользователями и некорректной работе их профилей.

ratibor79, нуу... как вариант. Предложил. Просто быстрее профиль снести и снова сделать, чем восстанавливать старый из бэкапа. 99.9% - проверено(если есть хоть пара ГП на терминал-сервер). По шаблону даже через три месяца текучка теряется. У вас может и не так. Не буду спорить.

winbond

К сожалению, Вы так и не поняли мою мысли. Суть мысли заключается чтобы на рабочем столе ничего не мог создать или скопировать туда », то есть у пользователя не должно быть возможности хранение данных на рабочем столе. Как этого добиться, не меняя NTFS разрешений к папке Desktop (Рабочий стол)? Моя мысль заключается в отключении самого рабочего стола, а при желании и контекстного меню проводника и панели задач. Эту фишку я подхватил в далеком 2006 году, когда австрийская компания Axess внедряла у нас свою платёжно-пропускную систему. Они, дабы ограничить простым кассирам возможность любых манипуляций в системе, накладывали ограничения пользователей, всё что последние имели - меню Пуск с возможностью запуска одной единственной программы. Всё. При этом ни о каком терминальном сервере (RDS/TS) или перемещаемых профилях с перенаправлением папок речи не идёт.

Для понимания идеи абстрагируйтесь от майкрасовтовского понятия ТЕРМИНАЛ (RDS или TS). Пример, работа банкоматов и иже подобных систем.

то есть у пользователя не должно быть возможности хранение данных на рабочем столе. »
А у Вас профиль пользователя локальный или перемещаемый?

Telepuzik

При этом ни о каком терминальном сервере (RDS/TS) или перемещаемых профилях с перенаправлением папок речи не идёт »

Я говорю о локальном профиле, не перемещаемом, без перенаправления папок. Для локального профиля всё работает (если подойти с умом), для перемещаемого не знаюЕго абсолютной жизнеспособности не гарантирую, но на тестовой машинке попробовать можно ».

Суть заключается в отключении возможностей проводника (рабочий стол, контекстное меню и т.д ) для конкретного пользователя, т.е манипуляция в ветке реестра HKEY_CURRENT_USER. Таким образом "издеваться" над пользователем, ограничивать его вполне удобно (всё зависит от вашей фантазии).

Приемлемо ли для Вас и Вашей организации, это Вам решать. Я лишь поделился опытом.
Во времена Windows XP и Windows Server 2003 это было вполне нормальное решение, например для организации места доступа в интернет для гостей и клиентов.