нужна помощь в применении политик распростронения ПО
 

Вобщем задача стоит следующая:
1. Опубликовать ПО для пользователей домена.
2. При этом на компьютерах применить политику файловой системы с разрешениями Domain Users "только для чтения\просмотра\выполнения" на %systemdrive%.

На деле получаем следующее: пользователь не может создавать папки\файлы на системном диске, однако в хоумпатче юзер оставляет за собой полные права.
При этом работает политика публикации ПО, разрешенного для конкретного контейнера пользователей.
Всё бы хорошо, однако при установке от пользователя вылетает ошибка "Нет доступа", в журнале 101 Error AppManag. Но ведь на сколько мне известно "установщик" в данном случае использует теневую учетную запись "winlogon" (или как то так), для которой собственно права полные. + в политиках "установщика" стоит "выполнять с повышенными правами" как для пользователя так и для компьютера.
Собсно вот такой вот тупик! Подскажите куда копать!
PS
Хочу добавить что если не применять политику разрешения для файловой системы то все работает гуд. Но задача стоит в том что бы данная политика работала тоже. Т.е. пользователям нужно запретить создавать директории на диске, оставив полный доступ только в "homepath".

Так какие права установлены на systemdrive, и какие пользователи там есть?

stolyar,
1. домен\Администраторы - полный доступ
2. SYSTEM - полный доступ
3. домен\Пользователи - чтение, чтение и выполнение, список содержимого папки
4. СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ - полный доступ (Только для подпапок и файлов)
ЗЫ
Вобщем это разрешения выставляемые по умолчанию если в параметры безопастности ФС добавить путь %systemdrive%.