Me gustaría usar una configuración de GPO para impedir que los usuarios creen carpetas y archivos en el directorio raíz en Windows 10. Buscando en Internet encontré la configuración
Configuración de la computadora -> Políticas -> Configuración de Windows-> Configuración de seguridad-> Sistema de archivos
donde creé una entrada para %SystemDrive%\ donde los usuarios autenticados tienen "Denegar" a "Crear archivos/escribir datos" y "Crear carpetas/añadir datos", aplicado a "Esta carpeta solo".
Después de guardar y vincular el GPO, reinicié la estación de trabajo para obtener las nuevas políticas pero la configuración no bloquea nada.
¿Alguna idea de qué podría estar mal? ¿Alguna otra sugerencia para lograr el mismo resultado?
muchas gracias.
Respuesta1
Mala idea. No vayas allí.
A menos que TODOS sus sistemas estén completamente bloqueados hasta el punto de que nadie necesitará instalar nada.
Bloquear la creación de carpetas/archivos en la raíz de la unidad del sistema dañará una gran cantidad de software, especialmente los instaladores de controladores de dispositivos, ya que a menudo crean carpetas de trabajo directamente desde la raíz de la unidad.
Además, las actualizaciones InPlace de Windows 10 (y probablemente también algunas otras actualizaciones de Windows) deben escribirse en la carpeta raíz.
Y a algunos procesos del sistema, como Hibernate, probablemente tampoco les guste esto.
Y "DENEGAR usuarios autenticados", como sugieren algunas personas en otras respuestas, TAMBIÉN es un DENEGAR para administradores. DENEGAR anula todo. Un administrador puede deshacerlo, pero eso requiere intervención manual, que es algo que WindowsUpdate, etc. no puede hacer.
En un entorno de software administrado (como SCCM), se puede improvisar algo como un contenedor para cada instalador, pero eso supone mucho trabajo.
O puede utilizar una cuenta de administrador local (no de dominio) para SCCM y limitar el acceso a la carpeta para los "Usuarios del dominio". Pero eso también es difícil de configurar y posiblemente represente un riesgo para la seguridad. (Necesitaría configurar contraseñas individuales para esa cuenta en cada computadora y almacenarlas en algún lugar para que SCCM las use. Si usa la misma contraseña en todas partes, si una está comprometida, todas las computadoras lo estarán).
De hecho: la empresa para la que trabajo realmente lo hace. así con SCCM y cuentas de administrador locales individuales en cada computadora (alrededor de 200.000 sistemas), pero no estamos lo suficientemente locos como para bloquear la unidad raíz. Demasiado potencial para causar todo tipo de efectos secundarios/problemas extraños.
Respuesta2
Podemos intentar solucionar el problema de la siguiente manera:
- ¿Si Windows 10 está en el entorno de dominio? Si está en el dominio, podemos ejecutar el informe gpresult en Windows 10 para ver si se aplica la política. Si se aplica, pero no puede bloquear la creación de carpetas y archivos, vaya al paso 2.
- Bloquee otras carpetas en el directorio raíz para ver si podemos aplicar la política de grupo correctamente. Si podemos, tal vez no podamos establecer el permiso del directorio raíz del sistema.
- Si Windows 10 no está en el entorno del dominio, tenga en cuenta que este proceso solo está disponible para un dominio con un servidor que ejecuta la función de administración de políticas de grupo... ¡los sistemas independientes y los grupos de trabajo aún necesitan asignar estos permisos manualmente! Entonces podemos intentar configurar el permiso manualmente.
Referencia:
Asignar permisos de archivos y carpetas mediante política de grupo
https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani
Creación de GPO de seguridad del sistema de archivos
https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html
Política de grupo: ejemplos de GPResult
https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html