Это может быть сделано с помощью специальных разрешений. Создайте новый объект групповой политики и перейдите к:
Computer Config > Policies > Windows Settings > Security Settings > File System
щелкните правой кнопкой мыши узел "Файловая система" и выберите "Добавить файл"
выберите вашу корневую папку, затем в окне разрешений нажмите "Дополнительно", затем "Добавить".
В этом окне выберите ваш принципал как domain\users
, введите: "разрешить" , применить к: "только файлы"
выберите разрешения, которые вы хотите предоставить своим пользователям в выбранной корневой папке только для файлов.
вот также сообщение в блоге об этом: https://msdirectoryservices.wordpress.com/2012/01/13/set-ntfs-folder-permissions-using-gpo/
Изменить: у меня была еще одна мысль об этом. Я бы не стал делать это через GPO, поскольку он находится на сетевом диске. Просто установите эти разрешения в корневой папке без GPO. GPO всегда обновляет разрешения, которые могут быть плохими. это нужно установить один раз, а не каждый раз при запуске некоторых компьютеров. Вы должны делать подобные вещи только через GPO, если папка, которую вы хотите защитить, находится на локальном диске и предназначена для нескольких компьютеров. например, если все 200 компьютеров вашего отдела xy нуждаются в "только файлах", измените разрешение на корневую папку в своем C:\
если вы делаете это для сетевого диска без объекта групповой политики, это та же процедура, что я объяснил выше, но локально, а не внутри объекта групповой политики. начать с "выберите свою корневую папку ..."