我想使用 GPO 設定來阻止使用者在 Windows 10 的根目錄中建立資料夾和檔案。
電腦設定 -> 策略 -> Windows 設定 -> 安全性設定 -> 檔案系統
我在其中為 %SystemDrive%\ 創建了一個條目,其中經過身份驗證的用戶具有“否定“ 到 ”建立文件/寫入數據“ 和 ”建立資料夾/追加數據“, 應用於 ”僅此資料夾」。
儲存並連結 GPO 後,我重新啟動工作站以獲取新策略,但設定不會阻止任何內容。
知道可能出什麼問題嗎?有其他建議可以達到相同的結果嗎?
多謝。
答案1
餿主意。別去那裡。
除非您的所有系統都完全鎖定到沒有人需要安裝任何東西的程度。
阻止在系統磁碟機根目錄下建立資料夾/檔案會破壞許多軟體,尤其是裝置驅動程式的安裝程序,因為這些軟體通常直接從磁碟機根目錄建立工作資料夾。
此外,Windows 10 就地升級(可能還有其他一些 Windows 更新)也需要寫入根資料夾。
一些系統進程,例如 Hibernate 可能也不喜歡這個
正如一些人在其他答案中建議的那樣,“拒絕經過身份驗證的用戶”,ALSO 也是對管理員的拒絕。否認推翻一切。管理員可以撤消它,但這需要手動幹預,這是 WindowsUpdate 等無法做到的。
在託管軟體環境(如 SCCM)中,您可以將一些東西拼湊成每個安裝程式的包裝器,但這需要大量工作。
或者,您可以使用 SCCM 的本機(非網域)管理員帳戶並限制「網域使用者」的資料夾存取權限。但這也很難設置,並且可能存在安全風險。 (您需要在每台電腦上為該帳戶設定單獨的密碼,並將這些密碼儲存在某個地方以供SCCM 使用。如果您在任何地方都使用相同的密碼,那麼如果一台電腦遭到洩露,那麼
每台電腦都會如此。。太有可能導致各種奇怪的副作用/問題。
答案2
我們可以嘗試按以下方法排查:
- 如果Windows 10是網域環境?如果是在網域中,我們可以在Windows 10中執行gpresult報表來查看策略是否套用。如果已套用,但無法阻止建立資料夾和文件,請前往步驟 2。
- 封鎖根目錄中的其他資料夾,看看我們是否可以成功應用群組原則。如果可以的話,也許我們可以不設定係統根目錄的權限。
- 如果Windows 10不在網域環境中,請記住,此程序僅適用於具有執行群組原則管理功能的伺服器的網域...獨立系統和工作群組仍需要手動指派這些權限!所以我們可以嘗試手動設定權限。
參考:
透過群組原則分配檔案和資料夾權限
https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani
建立檔案系統安全 GPO
https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html
群組策略 – GPResult 範例
https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html