Ноя 042019
 

Имеется контролер домена на базе server2008R2. Необходимо запретить запись файлов на рабочий стол для группы пользователей. Профайлы не перемещаемые. Определяю следующие политики:

Конфигурация компьютера=>Политики=Конфигурация Windows=>Параметры безопасности=>Файловая система:
%UserProfile%\Рабочий стол
%UserProfile%\Desktop
%SystemDrive%\Users\ts1\Desktop
%SystemDrive%\testfolder

Результат следующий:

%UserProfile%\Рабочий стол
%UserProfile%\Desktop

Никак не применяются.
%SystemDrive%\Users\ts1\Desktop
%SystemDrive%\testfolder

Работают на ура.

Почему?
Потому что, %userprofile% «появляется» после того, как пользователь залогинется.
А GPO отрабатывает на ветке компьютер тогда, когда ещё никто НЕ залогинился.
Поэтому, менять права на папку Рабочий стол, лучше через GPO, либо через планировщик по событию «Вход в систему». При этом надо помнить следующее:
При отсутствии профиля пользователя на компьютере он должен сначала создаться, а политика может отработать раньше и поэтому изменения прав могут произойти только после перелогина.

Некоторые приложения, при первом заходе пользователя любят создавать свои ярлыки на рабочем столе, запрет записи может повлиять на работоспособность таких приложений, потому как им будет запрещено создавать ярлыки и скрипт инициализации такого приложения нормально может не отработать (Автокад таким баловался раньше).
Проблему можно решить скриптом на Logon в конфигурации пользователя. Политику привязываете к нужной вам OU с фильтром по безопасности (требуемая группа пользователей):

@echo off

set CAC=%windir%\system32\CACLS.exe
set CN=%COMPUTERNAME%
set UP=%UserProfile%
set UN=%UserName%

 rem Disable RW to folders, enable R
%CAC% %UP%/Desktop /C /E /P %UN%:R
%CAC% %UP%/Downloads /C /E /P %UN%:R
%CAC% %UP%/Documents /C /E /P %UN%:R
%CAC% %UP%/Music /C /E /P %UN%:R
%CAC% %UP%/Pictures /C /E /P %UN%:R
%CAC% %UP%/Videos /C /E /P %UN%:R

В итоге получаем запрет на запись в папках Desktop, Downloads, Documents, Music, Pictures, Videos в Локальном профиле пользователя. Все ранее созданные файлы остаются для чтения, и могут пользователем перенесены в другое место, например диск D.