Ich möchte eine GPO-Einstellung verwenden, um Benutzer daran zu hindern, Ordner und Dateien im Stammverzeichnis von Windows 10 zu erstellen. Bei der Suche im Internet fand ich die Einstellung
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem
wo ich einen Eintrag für %SystemDrive%\ erstellt habe, wo Authentifizierte Benutzer "Leugnen" Zu "Dateien erstellen/Daten schreiben" Und "Ordner erstellen/Daten anhängen", angewendet "Nur dieser Ordner".
Nachdem ich das Gruppenrichtlinienobjekt gespeichert und verknüpft hatte, habe ich die Arbeitsstation neu gestartet, um die neuen Richtlinien zu erhalten, aber die Einstellungen blockieren nichts.
Irgendeine Idee, was falsch sein könnte? Irgendwelche anderen Vorschläge, um das gleiche Ergebnis zu erzielen?
vielen Dank.
Antwort1
Schlechte Idee. Tun Sie das nicht.
Es sei denn, ALLE Ihre Systeme sind vollständig gesperrt, sodass niemand jemals etwas installieren muss.
Das Blockieren der Ordner-/Dateierstellung im Stammverzeichnis des Systemlaufwerks wird viele Programme beschädigen, insbesondere Installationsprogramme für Gerätetreiber, da diese häufig Arbeitsordner direkt vom Stammverzeichnis des Laufwerks aus erstellen.
Auch Windows 10 InPlace Upgrades (und wahrscheinlich auch einige andere Windows-Updates) müssen in das Stammverzeichnis schreiben.
Und einige Systemprozesse wie Hibernate mögen dies wahrscheinlich auch nicht.
Und „Authentifizierte Benutzer VERWEIGERN“, wie manche Leute in anderen Antworten vorschlagen, ist AUCH ein VERWEIGERN für Administratoren. VERWEIGERN setzt alles außer Kraft. Ein Administrator kann es rückgängig machen, aber dazu ist ein manueller Eingriff erforderlich, was WindowsUpdate usw. nicht leisten kann.
In einer verwalteten Softwareumgebung (wie SCCM) können Sie etwas als Wrapper um jedes Installationsprogramm herum zusammenschustern, aber das ist eine Menge Arbeit.
Oder Sie können ein lokales (nicht domänengebundenes) Administratorkonto für SCCM verwenden und den Ordnerzugriff für „Domänenbenutzer“ beschränken. Aber das ist auch schwer einzurichten und möglicherweise ein Sicherheitsrisiko. (Sie müssten für dieses Konto auf jedem Computer individuelle Passwörter einrichten und diese irgendwo für die Verwendung durch SCCM speichern. Wenn Sie überall dasselbe Passwort verwenden, wird bei einem kompromittierten Computer jeder kompromittiert.)
Tatsächlich: Die Firma, für die ich arbeite, macht das tatsächlich so mit SCCM und individuellen lokalen Administratorkonten auf jedem Computer (ungefähr 200.000 Systeme), aber wir sind nicht verrückt genug, das Root-Laufwerk zu sperren. Zu viel Potenzial für alle möglichen seltsamen Nebenwirkungen/Probleme.
Antwort2
Wir können versuchen, das Problem wie folgt zu beheben:
- Befindet sich Windows 10 in der Domänenumgebung? Wenn es sich in der Domäne befindet, können wir den gpresult-Bericht in Windows 10 ausführen, um zu sehen, ob die Richtlinie angewendet wird. Wenn sie angewendet wird, aber die Erstellung von Ordnern und Dateien nicht blockieren kann, fahren Sie mit Schritt 2 fort.
- Blockieren Sie andere Ordner im Stammverzeichnis, um zu sehen, ob wir die Gruppenrichtlinie erfolgreich anwenden können. Wenn ja, können wir möglicherweise die Berechtigung für das Systemstammverzeichnis nicht festlegen.
- Wenn sich Windows 10 nicht in der Domänenumgebung befindet, beachten Sie bitte, dass dieser Vorgang nur für eine Domäne mit einem Server verfügbar ist, auf dem die Gruppenrichtlinienverwaltungsfunktion ausgeführt wird. Standalone-Systeme und Arbeitsgruppen müssen diese Berechtigungen weiterhin manuell zuweisen! Wir können also versuchen, die Berechtigung manuell festzulegen.
Referenz:
Zuweisen von Datei- und Ordnerberechtigungen über Gruppenrichtlinien
https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani
Erstellen von GPOs für die Dateisystemsicherheit
https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html
Gruppenrichtlinie – GPResult-Beispiele
https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html