מניעת גישה לדסקטופ


בין אם לצורך הקשחה או סתם בעקבות מדיניות מנכ"ל חדשה, מניעת שמירת קבצים על הדסקטופ היא ללא ספק צעד אפקטיבי בהדרכת משתמשים לשמירת קבצים במיקום ייעודי ספציפי וסדר בטרמינל באופן כללי.

מתחילים

באופן פרטני, ניתן לבצע זאת בצורה ידנית:

קליק ימני על תיקיית ה-Desktop של המשתמש בשרת ובחירה ב-"מאפיינים":

עוברים ללשונית Security ולוחצים על Edit:

כאן יש להוריד את 2 הסימונים מ-Full Control ו-Modify וללחוץ על OK:

כעת המשתמש לא יכול לשמור קבצים על שולחן העבודה שלו.

הגדרה באמצעות פקודת cmd

יש לשנות את סיומת הקובץ אל bat כך ששם הקובץ המלא ייראה כך: Prevent write On Desktop.bat
גילוי נאות: הנהלת האתר לא תשא בכל אחריות שהיא לנזק שייגרם כתוצאה משימוש במדריך זה.

מה שהסקריפט הזה עושה הוא, מגדיר עם כל התחברות משתמש לטרמינל, שלא תהיה אפשרות למשתמש להעתיק ולשנות נתונים בתיקיות המשתמש שלו כמו: Desktop/Pictures/Videos ועוד..

אך בד בבד מחריג את ה-Administrator וקבוצת ה-Administrators שלא יקבלו הגדרה זו.

הסקריפט מכיל:

  
  

IF "%username%" == "administrator" (
   Echo Y| cacls %userprofile%/desktop /P %username%:W
Echo Y| cacls %userprofile%/desktop /t /e /g Administrators:f
) ELSE (
   Echo Y| cacls %userprofile%/desktop /P %username%:R
)



IF "%username%" == "administrator" (
   Echo Y| cacls %userprofile% /P %username%:W
Echo Y| cacls %userprofile% /t /e /g Administrators:f
) ELSE (
   Echo Y| cacls %userprofile% /P %username%:R
)



IF "%username%" == "administrator" (
   Echo Y| cacls %userprofile%/Music /P %username%:W
Echo Y| cacls %userprofile%/Music /t /e /g Administrators:f
) ELSE (
   Echo Y| cacls %userprofile%/Music /P %username%:R
)



IF "%username%" == "administrator" (
   Echo Y| cacls %userprofile%/Pictures /P %username%:W
Echo Y| cacls %userprofile%/Pictures /t /e /g Administrators:f
) ELSE (
   Echo Y| cacls %userprofile%/Pictures /P %username%:R
)



IF "%username%" == "administrator" (
   Echo Y| cacls %userprofile%/Videos /P %username%:W
Echo Y| cacls %userprofile%/Videos /t /e /g Administrators:f
) ELSE (
   Echo Y| cacls %userprofile%/Videos /P %username%:R
)



IF "%username%" == "administrator" (
   Echo Y| cacls %userprofile%/Links /P %username%:W
Echo Y| cacls %userprofile%/Links /t /e /g Administrators:f
) ELSE (
   Echo Y| cacls %userprofile%/Links /P %username%:R
)

  

את הסקריפט ניתן להריץ חד פעמית אך כדאי להגדיר אותו להפעלה בעת ה-Logon של כל משתמש.

לכדלהלן:

ניגש אל חלונית ההפעלה ואז נכתוב gpedit.msc ואנטר:

gpedit.msc

בחלונית שנפתחה ננווט אל:

User Configuration -> Windows Settings -> Scripts (Logon/Logoff) -> Logon

נלחץ פעמיים על Logon:

User Configuration -> Windows Settings -> Scripts (Logon/Logoff) -> Logon

בחלונית שנפתחה נלחץ על Add:

בחלונית שנפתחה, נקליד s/ על מנת שהסקריט ייטען כ-silent

ולאחר מכן, על ידי לחיצה על "Browse" ננתב אל שם הקובץ Prevent write On Desktop.bat :

בוחרים את הקובץ ולוחצים Open, ופעמיים על OK לסיום.

לאחר מכן מבצעים gpupdate /force פעמיים בשרת

  
  
C:\>gpupdate /force
Updating policy...

Computer Policy update has completed successfully.
User Policy update has completed successfully.

  

מבצעים logout מהמשתמש וריסטרט לשרת, והתוצאה: למשתמשים אין אפשרות גישה לתיקיות המשתמש.

בהצלחה!