对于我们的 Windows 10(教育版)安装映像,我想阻止用户在 上创建新文件夹C:\。该安装由教室中共享 PC 的学生使用,因此我们希望保持磁盘主目录干净(他们都有主目录来存储数据)。在当前安装的 Windows 7 中,我可以使用标准 Windows GUI 非常轻松地编辑权限。在 Windows 10 中,它失败了。
我已经尝试过的:
- 从 GUI 更改权限 →无法枚举容器中的对象(访问被拒绝)。
C:\从 GUI获取目录的所有权→访问被拒绝- 添加否定从 GUI 进入,而不改变现有的权限 →访问被拒绝
cacls使用提升的命令提示符更改权限→访问被拒绝takeown /f c:\ /a使用命令 →从提升的命令提示符获取所有权访问被拒绝- 相同
cacls命令,takeown在 SYSTEM 用户下运行命令提示符(使用 获取psexec64)→访问被拒绝
尽管允许用户创建自己的文件夹(不允许创建新文件)不应该存在安全风险C:\,但这并不是我们想要的,因为我们希望确保人们使用自己的主文件夹(与本地 PC 硬盘不同,主文件夹有备份和快照)。
上的权限C:\看起来与 Windows 7 Enterprise 安装上的权限相同,包括强制标签(icacls两种情况下都显示Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)),并且所有者相同(TrustedInstaller),因此我认为 Windows 7 和 Windows 10 在这方面不会有差异。
现在,有一个确实有效的选项:使用caclsWindows 10 恢复命令提示符。但是,尽管此解决方案适用于映像部署,但我们还有几台机器需要手动更正,因为我们无法重新映像它们。尽管我可以通过 PXE 启动 Windows 10 恢复(使用memdiskCD 的 ISO 映像),但如果可以在机器上运行的实际操作系统中完成此操作,将非常有帮助。如果它可以与 GPO 一起使用就更好了。
答案1
将此内容放入答案中以便永久记录:Windows 10 不会阻止您更改 C 驱动器根目录的权限。OP 已确认此行为是由他们的防病毒软件引起的。
答案2
这不是一个直接的答案,但由于它是共享计算机,因此有一个 GPO 会限制整个 C 盘,同时允许安装在其上的程序运行。
这只会阻止用户浏览 C 盘,即使是从另存为 Windows 的系统中。这可能是一个不错的解决方法。
用户配置\管理模板\Windows 组件\Windows
防止从“我的电脑”访问驱动器。
和仅限制 C 盘