AD網域管理中使用者強制漫遊設定檔

ad windows server windows server 2016 網域

wth19840320 2019-07-23 19:53:40 ‧ 6855 瀏覽

因為公司要限制不讓一般使用者在桌面上放置資料或刪除其他桌面捷徑的關係，所以打算做一個公版的強制漫遊設定檔，但目前遇到瓶頸，照在GOOGLE上搜尋相關關鍵字的文章"強制漫遊設定檔"，找到的文章都有點歷史了，依樣畫葫蘆的方式都無法設定成功。
是否有AD網域的達人可以給個方向或方法，讓小弟我更有方向的解決這個問題呢，謝謝。
對了，公司使用的是2016的版本。

harrytsai iT邦新手 1 級 ‧ 2019-07-24 12:05:44 檢舉

1.不准使用者在桌面放資料,你應該教育使用者,告訴它們把資料放到哪邊去
2.桌面的捷徑,你可以把捷徑丟在公用的使用者資料夾,就算他刪他個人的也沒用
3.捷徑也可以由另一個管理者丟到桌面去,使用者就沒有權限去刪他

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

zero

iT邦好手 1 級 ‧ 2019-07-23 20:09:23

你要的功能是:限制使用者寫入桌面與刪除桌面資料的功能

漫遊設定檔設計的目的不是用來達成你要的功能，你搞錯方向了。

一般使用者桌面的資料夾在系統的 C:\users\帳戶\Desktop 位置上

你應該做的是，修改Desktop這個資料夾的ACL存取控制清單才對

將該帳戶的寫入與刪除權限改成拒絕即可

看你要用CMD來做修改，還是用新的Powershell來改都可以

CMD可以用 Icacls

Powershell 可以用 set-acl與get-acl

回應 3
分享
檢舉

wth19840320 iT邦新手 5 級 ‧ 2019-07-23 22:37:46 檢舉

您好，我們公司的使用者都是在他們自己的電腦上登入網域設定好的USERNAME和PASSWORD，而不是透過遠端桌面登入到SERVER端使用，這樣您的方法也適用嗎？

zero iT邦好手 1 級 ‧ 2019-07-24 14:28:35 檢舉

當然適用，你應該利用AD的架構去部屬一個，會在每一台電腦上運作的程式，該程式就是做ACL的設定，這樣就可以解決你要的需求，每個網域環境正常本來就是每個使用者用自己的網域帳戶登入自己的電腦。

zero iT邦好手 1 級 ‧ 2019-07-24 14:34:11 檢舉

樓下那個回文我傻眼，請不要造著做，你會把所有使用者的桌面刪除

登入發表回應

h1324512

iT邦新手 5 級 ‧ 2019-07-24 10:45:28

漫遊是會將使用者桌面上資料備份到遠端去
前提是，使用者必需登入網域的USERNAME
所以需等待資料備份到遠端server
相同的，使用者在遠端Server時，也需等待資料備份回來

你的主題是「限制不讓一般使用者在桌面上放置資料或刪除其他桌面捷徑的關係」
可在群組原則
使用者設定-WINDOWS設定-指令碼(登入登出)中加入bat檔
bat檔內容就是 del c:\users%username%\desktop (清user桌面資料自行考慮要不要)
至於有些共用的軟體捷徑
可以收到C:\Users\Public\Desktop
這樣就不怕被刪除捷徑

回應 2
分享
檢舉

小湯 iT邦好手 1 級 ‧ 2019-07-25 15:30:21 檢舉

建議您使用AD GPO群組原則管理去管控吧,Google一下.

h1324512 iT邦新手 5 級 ‧ 2019-07-25 17:28:53 檢舉

https://forsenergy.com/zh-tw/gpmc/html/412e3cfe-365b-4e18-b831-86288cde44c4.htm
恩受教了
有想了一下用C:\Users\Public\Desktop的方式
還不如用ad派送來得快
我誤會發文者的意思了，以為user用完後要清空資料

登入發表回應