我想使用 GPO 设置来阻止用户在 Windows 10 的根目录中创建文件夹和文件。在互联网上搜索后,我找到了该设置
计算机配置->策略->Windows设置->安全设置->文件系统
我为 %SystemDrive%\ 创建了一个条目,其中经过身份验证的用户具有“否定“ 到 ”创建文件/写入数据“ 和 ”创建文件夹/附加数据“, 应用于 ”仅限此文件夹“。
保存并链接 GPO 后,我重新启动了工作站以获取新策略,但设置并未阻止任何内容。
知道哪里出了问题吗?还有其他建议可以达到相同的结果吗?
多谢。
答案1
坏主意。不要这么做。
除非您的所有系统都完全锁定到无人需要安装任何东西的程度。
阻止在系统驱动器根目录下创建文件夹/文件会破坏许多软件,尤其是设备驱动程序的安装程序,因为它们通常会直接从驱动器根目录创建工作文件夹。
此外,Windows 10 InPlace 升级(可能还有其他一些 Windows 更新)需要写入根文件夹。
而一些系统进程,如 Hibernate 可能也不喜欢这样
并且“拒绝经过身份验证的用户”,正如某些人在其他答案中建议的那样,对于管理员来说也是拒绝。拒绝会否决一切。管理员可以撤消它,但这需要手动干预,而这是 WindowsUpdate 等无法做到的。
在托管软件环境(如 SCCM)中,您可以拼凑一些东西作为每个安装程序的包装器,但这需要大量工作。
或者,您可以使用本地(非域)管理员帐户来管理 SCCM,并限制“域用户”的文件夹访问权限。但这也很难设置,并且可能存在安全风险。(您需要在每台计算机上为该帐户设置单独的密码,并将其存储在某个地方以供 SCCM 使用。如果您在所有地方都使用相同的密码,如果一个密码被泄露,则每台计算机都会被泄露。)
事实上:我工作的公司实际上是这样做的,在每台计算机上使用 SCCM 和单独的本地管理员帐户(大约 200,000 个系统),但我们还没有疯狂到锁定根驱动器。这很有可能导致各种奇怪的副作用/问题。
答案2
我们可以尝试按照如下方法进行排除故障:
- Windows 10 是否在域环境中?如果在域中,我们可以在 Windows 10 中运行 gpresult report 来查看策略是否应用。如果应用了,但是无法阻止创建文件夹和文件,请转到步骤 2。
- 把根目录下的其他文件夹屏蔽掉,看看组策略能否应用成功,如果可以,可能就无法设置系统根目录的权限了。
- 如果 Windows 10 不在域环境中,请记住此过程仅适用于具有运行组策略管理功能的服务器的域...独立系统和工作组仍然需要手动分配这些权限!所以我们可以尝试手动设置权限。
参考:
通过组策略分配文件和文件夹权限
https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani
创建文件系统安全 GPO
https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html
组策略 – GPResult 示例
https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html