Пользователи обожают сохранять файлы прямо на рабочий стол, что не только засоряет его, но и создает проблемы администратором при облуживании рабочих станций и серверов. Проблема большого количества пользовательских файлов на Рабочем столе, в папке Загрузки или других стандартных папках профиля пользователя (папках библиотек) может быть особо критична для терминальных RDS серверов, профилях VDI и других сценариях централизованного хранения и резервного копирования профилей пользователей. В этой статье мы рассмотрим, как настроить запрет сохранения (создания) новых файлов на рабочем столе (или в другой служебной папки библиотеки) для пользователей Windows.
Сначала покажем, как вручную изменить NTFS разрешения на папку Desktop в профиле так, чтобы пользователю было запрещено создавать (сохранять) новые файлы.

Перейдите на вкладу Security, кнопка Advanced -> отключите наследование (Disable Inheritance). Выберите имя пользователя в списке и нажмите Edit. Включите отображение расширенных разрешений (Show advanced permissions).
Отключите NTFS права Create files/write data и Create Folders /append data. Проверьте, что эти права применяются для всех вложенных папок и файлов (Applies to: This folder subfolders and files).

Сохраните изменения.
Пользователь сможет читать файлы, но не создавать/изменять их. Теперь при попытке создать или скопировать файл на рабочий стол у пользователя появится ошибка доступа и UAC запрос на повышение привилегий до администратора.
You’ll need to provide administrator permissions to copy to this folder.

Administrators
.
Теперь ошибка доступа будет отображаться без окна UAC:
Destination folder access denied


С помощью утилиты
icacls
можно выставить явный запрет на запись файлов на рабочий стол.
icacls "%USERPROFILE%\Desktop" /reset /T /C /Q
icacls "%USERPROFILE%\Desktop" /inheritance:d /T /C /Q
icacls "%USERPROFILE%\Desktop" /deny %USERNAME%:(OI)(CI)(WD,WA) /T /C /Q

Однако, продвинутый пользователь, оставаясь владельцем папки Desktop, сможет отменить такой запрет.
Рассмотрим, как внедрить запрет на сохранение файлов на рабочий стол (или другие местоположения) с помощью групповых политик в домене Active Directory. Идея в том, что мы можем при входе пользователя через GPO выполнить логон скрипт, который запретит ему запись на нужные папки.
- Откройте консоль управления доменными групповыми политиками
gpmc.msc - Создайте новую GPO и перейдите в режим ее редактирования
- Перейдите в раздел User Configuration -> Policies -> Windows Settings -> Script (logon/Logoff) -> Logon
- Создайте файл
denydesktopwrite.batи скопируйте в него код, приведений выше.
- Сохраните настройки GPO и назначьте ее на OU с пользователями.
- Перезагрузите компьютер пользователя, чтобы применить новые настройки политик.
- Проверьте, что запрет на запись на рабочий стол активен.
По аналогии можно настроить запрет на запись/сохранение файлов в другие папки библиотек в профиле пользователя. Например, запретить сохранять файлы в папку Downloads, Music и т.д..

