Windows 10のルートディレクトリにユーザーがフォルダやファイルを作成できないようにGPO設定を使用したいと思います。インターネットで検索したところ、設定が見つかりました。
コンピューターの構成 -> ポリシー -> Windows の設定 -> セキュリティ設定 -> ファイル システム
%SystemDrive%\ のエントリを作成しました。認証されたユーザーには「拒否" に "ファイルの作成/データの書き込み" そして "フォルダの作成/データの追加"、 に適用されます "このフォルダのみ「」。
GPO を保存してリンクした後、新しいポリシーを取得するためにワークステーションを再起動しましたが、設定では何もブロックされません。
何が間違っているのか、何か考えはありますか? 同じ結果を得るための他の提案はありますか?
どうもありがとう。
答え1
悪い考えです。やらないでください。
すべてのシステムが完全にロックダウンされ、誰もインストールする必要がなくなる場合を除きます。
システムドライブのルートでフォルダー/ファイルの作成をブロックすると、多くのソフトウェアが壊れます。特にデバイス ドライバーのインストーラーは、ドライブのルートから直接作業フォルダーを作成することが多いためです。
また、Windows 10 のインプレース アップグレード (およびおそらく他の Windows アップデートも) は、ルート フォルダーに書き込む必要があります。
また、休止状態などの一部のシステム プロセスも、おそらくこれを好まないでしょう。
また、他の回答で一部の人が示唆しているように、「認証されたユーザーを拒否」は管理者に対する拒否でもあります。拒否はすべてに優先します。管理者はそれを元に戻すことができますが、それには手動による介入が必要であり、WindowsUpdate などでは実行できません。
管理されたソフトウェア環境 (SCCM など) では、インストーラーごとにラッパーとして何かを用意できますが、これは大変な作業です。
または、SCCM にローカル (非ドメイン) 管理者アカウントを使用して、フォルダー アクセスを "ドメイン ユーザー" に制限することもできます。ただし、これも設定が難しく、セキュリティ リスクになる可能性があります (各コンピューターでそのアカウントの個別のパスワードを設定し、SCCM が使用できるようにどこかに保存する必要があります。どこでも同じパスワードを使用すると、1 つのパスワードが侵害されると、すべてのコンピューターが侵害されます)。
実際、私が勤務する会社では、SCCM と各コンピューター (約 200,000 のシステム) の個別のローカル管理者アカウントを使用してそのように実行していますが、ルート ドライブをロックダウンするほどクレイジーではありません。さまざまな奇妙な副作用や問題を引き起こす可能性が高すぎます。
答え2
以下のようにトラブルシューティングを試みることができます:
- Windows 10 がドメイン環境にある場合、ドメイン内にある場合は、Windows 10 で gpresult レポートを実行して、ポリシーが適用されているかどうかを確認できます。適用されていても、フォルダーとファイルの作成をブロックできない場合は、手順 2 に進みます。
- ルート ディレクトリ内の他のフォルダーをブロックして、グループ ポリシーを正常に適用できるかどうかを確認します。正常に適用できる場合は、システム ルート ディレクトリのアクセス許可を設定できない可能性があります。
- Windows 10 がドメイン環境にない場合は、このプロセスはグループ ポリシー管理機能を実行しているサーバーがあるドメインでのみ使用できることに注意してください。スタンドアロン システムとワークグループでは、これらのアクセス許可を手動で割り当てる必要があります。そのため、アクセス許可を手動で設定することができます。
参照:
グループポリシー経由でファイルとフォルダの権限を割り当てる
https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani
ファイルシステムセキュリティGPOの作成
https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html
グループ ポリシー – GPResult の例
https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html