Я хотел бы использовать параметр GPO, чтобы запретить пользователям создавать папки и файлы в корневом каталоге Windows 10. Поискав в Интернете, я нашел параметр
Конфигурация компьютера -> Политики -> Параметры Windows-> Параметры безопасности-> Файловая система
где я создал запись для %SystemDrive%\, где аутентифицированные пользователи имеют "Отрицать" к "Создание файлов/Запись данных" и "Создать папки/добавить данные", применительно к "Только эта папка".
После сохранения и привязки GPO я перезагрузил рабочую станцию, чтобы получить новые политики, но настройки ничего не блокируют.
Есть идеи, в чем может быть проблема? Есть ли другие предложения, как добиться того же результата?
большое спасибо.
решение1
Плохая идея. Не ходите туда.
Если только ВСЕ ваши системы не будут полностью заблокированы до такой степени, что никому никогда не понадобится ничего устанавливать.
Блокировка создания папок/файлов в корне системного диска сломает много программного обеспечения, особенно установщиков драйверов устройств, поскольку они часто создают рабочие папки прямо из корня диска.
Также обновления Windows 10 InPlace (и, вероятно, некоторые другие обновления Windows) должны записывать в корневую папку.
И некоторые системные процессы, такие как Hibernate, вероятно, тоже не любят этого
И "DENY Authenticated Users", как некоторые люди предлагают в других ответах, ТАКЖЕ является DENY для администраторов. DENY отменяет все. Администратор может отменить это, но это требует ручного вмешательства, чего WindowsUpdate и т. п. сделать не могут.
В управляемой программной среде (например, SCCM) вы можете смастерить что-то в качестве оболочки для каждого установщика, но это требует много работы.
Или вы можете использовать локальную (не доменную) учетную запись администратора для SCCM и ограничить доступ к папке для «Пользователей домена». Но это также сложно настроить и, возможно, представляет риск для безопасности. (Вам нужно будет настроить отдельные пароли для этой учетной записи на каждом компьютере и сохранить их где-то для использования SCCM. Если вы используете один и тот же пароль везде, то в случае взлома одного из них, каждый компьютер будет взломан.)
Фактически: компания, в которой я работаю, на самом деле делает это с SCCM и отдельными локальными учетными записями администратора на каждом компьютере (около 200 000 систем), но мы не настолько сумасшедшие, чтобы заблокировать корневой диск. Слишком много потенциала для возникновения всевозможных странных побочных эффектов/проблем.
решение2
Мы можем попытаться устранить неполадки следующим образом:
- Если Windows 10 находится в доменной среде? Если она находится в домене, мы можем запустить отчет gpresult в Windows 10, чтобы увидеть, применяется ли политика. Если она применяется, но не может блокировать создание папок и файлов, перейдите к шагу 2.
- Заблокируйте другие папки в корневом каталоге, чтобы посмотреть, сможем ли мы успешно применить групповую политику. Если да, то, возможно, мы не можем установить разрешение системного корневого каталога.
- Если Windows 10 не находится в доменной среде, имейте в виду, что этот процесс доступен только для домена с сервером, на котором запущена функция управления групповой политикой... автономным системам и рабочим группам по-прежнему необходимо вручную назначать эти разрешения! Поэтому мы можем попробовать установить разрешение вручную.
Ссылка:
Назначение разрешений для файлов и папок с помощью групповой политики
https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani
Создание объектов групповой политики безопасности файловой системы
https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html
Групповая политика – примеры GPResult
https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html