**GPO - So blockieren Sie die Erstellung von Ordnern und Dateien im Stammverzeichnis in Windows 10

Question 1

Schlechte Idee. Tun Sie das nicht.
Es sei denn, ALLE Ihre Systeme sind vollständig gesperrt, sodass niemand jemals etwas installieren muss.
Das Blockieren der Ordner-/Dateierstellung im Stammverzeichnis des Systemlaufwerks wird viele Programme beschädigen, insbesondere Installationsprogramme für Gerätetreiber, da diese häufig Arbeitsordner direkt vom Stammverzeichnis des Laufwerks aus erstellen.
Auch Windows 10 InPlace Upgrades (und wahrscheinlich auch einige andere Windows-Updates) müssen in das Stammverzeichnis schreiben.
Und einige Systemprozesse wie Hibernate mögen dies wahrscheinlich auch nicht.

Und „Authentifizierte Benutzer VERWEIGERN“, wie manche Leute in anderen Antworten vorschlagen, ist AUCH ein VERWEIGERN für Administratoren. VERWEIGERN setzt alles außer Kraft. Ein Administrator kann es rückgängig machen, aber dazu ist ein manueller Eingriff erforderlich, was WindowsUpdate usw. nicht leisten kann.

In einer verwalteten Softwareumgebung (wie SCCM) können Sie etwas als Wrapper um jedes Installationsprogramm herum zusammenschustern, aber das ist eine Menge Arbeit.
Oder Sie können ein lokales (nicht domänengebundenes) Administratorkonto für SCCM verwenden und den Ordnerzugriff für „Domänenbenutzer“ beschränken. Aber das ist auch schwer einzurichten und möglicherweise ein Sicherheitsrisiko. (Sie müssten für dieses Konto auf jedem Computer individuelle Passwörter einrichten und diese irgendwo für die Verwendung durch SCCM speichern. Wenn Sie überall dasselbe Passwort verwenden, wird bei einem kompromittierten Computer jeder kompromittiert.)
Tatsächlich: Die Firma, für die ich arbeite, macht das tatsächlich so mit SCCM und individuellen lokalen Administratorkonten auf jedem Computer (ungefähr 200.000 Systeme), aber wir sind nicht verrückt genug, das Root-Laufwerk zu sperren. Zu viel Potenzial für alle möglichen seltsamen Nebenwirkungen/Probleme.

Answer

Schlechte Idee. Tun Sie das nicht.
Es sei denn, ALLE Ihre Systeme sind vollständig gesperrt, sodass niemand jemals etwas installieren muss.
Das Blockieren der Ordner-/Dateierstellung im Stammverzeichnis des Systemlaufwerks wird viele Programme beschädigen, insbesondere Installationsprogramme für Gerätetreiber, da diese häufig Arbeitsordner direkt vom Stammverzeichnis des Laufwerks aus erstellen.
Auch Windows 10 InPlace Upgrades (und wahrscheinlich auch einige andere Windows-Updates) müssen in das Stammverzeichnis schreiben.
Und einige Systemprozesse wie Hibernate mögen dies wahrscheinlich auch nicht.

Und „Authentifizierte Benutzer VERWEIGERN“, wie manche Leute in anderen Antworten vorschlagen, ist AUCH ein VERWEIGERN für Administratoren. VERWEIGERN setzt alles außer Kraft. Ein Administrator kann es rückgängig machen, aber dazu ist ein manueller Eingriff erforderlich, was WindowsUpdate usw. nicht leisten kann.

In einer verwalteten Softwareumgebung (wie SCCM) können Sie etwas als Wrapper um jedes Installationsprogramm herum zusammenschustern, aber das ist eine Menge Arbeit.
Oder Sie können ein lokales (nicht domänengebundenes) Administratorkonto für SCCM verwenden und den Ordnerzugriff für „Domänenbenutzer“ beschränken. Aber das ist auch schwer einzurichten und möglicherweise ein Sicherheitsrisiko. (Sie müssten für dieses Konto auf jedem Computer individuelle Passwörter einrichten und diese irgendwo für die Verwendung durch SCCM speichern. Wenn Sie überall dasselbe Passwort verwenden, wird bei einem kompromittierten Computer jeder kompromittiert.)
Tatsächlich: Die Firma, für die ich arbeite, macht das tatsächlich so mit SCCM und individuellen lokalen Administratorkonten auf jedem Computer (ungefähr 200.000 Systeme), aber wir sind nicht verrückt genug, das Root-Laufwerk zu sperren. Zu viel Potenzial für alle möglichen seltsamen Nebenwirkungen/Probleme.

Question 2

Wir können versuchen, das Problem wie folgt zu beheben:

Befindet sich Windows 10 in der Domänenumgebung? Wenn es sich in der Domäne befindet, können wir den gpresult-Bericht in Windows 10 ausführen, um zu sehen, ob die Richtlinie angewendet wird. Wenn sie angewendet wird, aber die Erstellung von Ordnern und Dateien nicht blockieren kann, fahren Sie mit Schritt 2 fort.
Blockieren Sie andere Ordner im Stammverzeichnis, um zu sehen, ob wir die Gruppenrichtlinie erfolgreich anwenden können. Wenn ja, können wir möglicherweise die Berechtigung für das Systemstammverzeichnis nicht festlegen.
Wenn sich Windows 10 nicht in der Domänenumgebung befindet, beachten Sie bitte, dass dieser Vorgang nur für eine Domäne mit einem Server verfügbar ist, auf dem die Gruppenrichtlinienverwaltungsfunktion ausgeführt wird. Standalone-Systeme und Arbeitsgruppen müssen diese Berechtigungen weiterhin manuell zuweisen! Wir können also versuchen, die Berechtigung manuell festzulegen.

Referenz:

Zuweisen von Datei- und Ordnerberechtigungen über Gruppenrichtlinien

https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani

Erstellen von GPOs für die Dateisystemsicherheit

https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html

Gruppenrichtlinie – GPResult-Beispiele

https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html

Answer