Права на папку C:\Users
 

Машинка работает в домене терминальным сервером. Один из пользователей обратил внимание, что он может зайти в профиль другого пользователя и прочитать любые файлы. Посмотрев права доступа вижу, что в списке разрешения на профиль присутствует "Domain Users" с правами на чтение и просмотр. Убираю всю группу "Domain Users" из прав доступа к профилю. Всё нормально. Каждый пользователь видит только свой профиль. Но через некоторое время возвращаются прежние права на профили пользователей. В чем фишка. Как сделать, чтобы изменения не отменялись.
И кто знает для чего сделали профили пользователей открытыми.

запустите rsop и поищите в секции настроек файловой системы.
скорее всего дело именно в них.


Для чего? это надо спросить у того кто делал.

Политики здесь точно ни при чем. Для файловой системы хоть и есть изменения в разрешениях на файловую систему, но к профилю пользователя они не относятся. Этот прикол есть только в 2008. Какие есть еще варианты?
По поводу кто знает ..... Вопрос чисто риторический. ))

Почему не при чем?

Чудес не бывает... Проверьте.

Проверил сразу. Еще варианты?

icacls <папка_с_профилями> и icacls <профиль_одного_из_юзеров> в студию!
И кто владельцы обеих папок.

C:\Users>icacls pab
pab NT AUTHORITY\система:(OI)(CI)(F)
BUILTIN\Администраторы:(OI)(CI)(F)
MAGGEO\pab:(OI)(CI)(F)
MAGGEO\Domain Users:(OI)(CI)(RX)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

Владелец Администраторы (TS-1\Администраторы)

C:\Users>icacls C:\Users
C:\Users NT AUTHORITY\система:(OI)(CI)(F)
BUILTIN\Администраторы:(OI)(CI)(F)
BUILTIN\Пользователи:(RX)
BUILTIN\Пользователи:(OI)(CI)(IO)(GR,GE)
Все:(RX)
Все:(OI)(CI)(IO)(GR,GE)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

Владелец система

Нужны права не на локальный профиль, а на сетевой, в папке pab. И что за группа/пользователь pab?
Посмотрите в свойствах безопасности, права для 'MAGGEO\Domain Users' наследованные или назначены явно?

pab - это простой непривилегированный пользователь с профилем лежащим по пути c:\Users\pab\. Юзеры грузятся с тонкого бездискового клиента (вначале линукс по tftp, потом по rdp подключаются к терминальному серверу). Профили всех пользователей лежат на этом сервере локально по пути c:\Users\....
'MAGGEO\Domain Users' назначены явно, наследования нет.

Значит, их кто-то назначает: либо политика, либо какая-нибудь программа.
Политику проверить легко: уберите права, gpupdate /force, для надёжности перезагрузите сервер и смотрите.
Если не политика, отследим, какая программа.

права убрал. gpupdate /force два раза для верности, по логам все ок, применилась нормально.

перегрузил сервер.

Через 10 минут проверил, 'MAGGEO\Domain Users' у пользователей у которых убрал не появились.

Разобрался при каких условиях происходит добавление прав: Это коннект пользователя. После входа юзера в терминальную сессию к правам на профиль добавляется MAGGEO\Domain Users'.
Какие есть соображения???

Скрипты при входе пользователя в систему: 'обычные' и/или терминальные.

а что такое терминальные?

В голове крутится, что где-то в разделе политик есть ещё скрипты, которые выполняются при входе пользователя в RDS. Но найти их не смог. Видимо, это я ошибся.

Вы можете включить аудит для папки с профилем pab в свойствах безопасности.

Затем нужно включить аудит объектов в локальной политике. Воспроизвести проблему. В логе 'Security' смотрите. кто конкретно выполнил настройку прав.

Враг нашелся. Спасибо Isotonic. В одной из доменных политик для пользователей был логон скрипт. Сделали это давно и благополучно забыли.