Ковырял вчера гпо в данном направлении, попробовал квоты...
Это ппц, после выставления квот на локальный винт на компьютеры в отдельном ОУ (я выставил квоту в 10кб), не пускало никого, кроме домен админа. Причем после возврата политики в дефолтное положение и ребута клиента (естественно полтики обновил), квоты можно было убрать - но значения остались. Сейчас ковыряю гпо в плане безопасности файловой системы на свой компутер.

Ковырял вчера гпо в данном направлении, попробовал квоты...
Это ппц, после выставления квот на локальный винт на компьютеры в отдельном ОУ (я выставил квоту в 10кб), не пускало никого, кроме домен админа. Причем после возврата политики в дефолтное положение и ребута клиента (естественно полтики обновил), квоты можно было убрать - но значения остались. Сейчас ковыряю гпо в плане безопасности файловой системы на свой компутер.
логично блин, своп то надо создавать.

у меня звери могут сохранять свои документы только на рабочий стол и в папку мои документы - а они храняться на сервере, где для каждого выделено определенное кол-во пространства. на локальные машины не могут делать записи, т.к. нет прав доступа никуда, кроме как на выше обозначенные папки.

не понял, а ntfs правами запрет делать уже не модно? при чём тут своп? на винт ещё файл реестра пишется для каждого юзера (если профиль локальный) и ещё какая байда...

не понял, а ntfs правами запрет делать уже не модно?
Модно, только когда машин в домене под 150 -как-то не тянет руками каждый винт шерстить. Проблема в том что - та инфа которую юзеры уже выложили на винты - ее надо оставить на чтение. Вот такая вот интересная политика секурности ИТ :(

Понятчто что читать с винта они должны! Иначе нах вообще винт нужен тогда :D

Не, ну подожди, давай подробней распишем задачу. Как обстоят дела в настоящий момент? С какими правами заходят юзеры? Если не с админскими, то куда они могут писать кроме десктопа и "моих документов"? Профили локальные или перемещаемые? Зачем и кому вообще понадобилось запрещать писать на винт? (может, проще будет переубедить руководство?)

Ээээ, ну.. сейчас профили перемещаемые, "мои доки" редиректятся на сервер, на сервере квоты. Админских прав практически нет , ну замов я в расчет не беру. Но, до недавних пор -была этакая казацкая вольница. Сейчас, когда руководству принесли из СБ абсолютно левой конторы, результаты такой вольницы -руководство мягко говоря охренело. Вот и решило закрутить гайки - тут я согласен. Но когда закрутка идет только для одного отдела -тут я непонимаю... Но таковы реалии. Т.е то что уже сложено на винтах - они (юзеры) могут прочитать, но вот запись на винт (опять же кроме профиля, туда тот же Аутлук активно пишет в дат файл) закрыть. И вообще -имхо пора отрезать тему подальше от общего обозрения.