我对高级 IT 支持和 GPO 还不太熟悉,所以请耐心等待。
我想限制使用 Windows 10 的用户下载/访问除下载之外的所有文件夹(桌面、文档、图片、视频等),而不使用漫游配置文件或映射网络驱动器(如果可能)。我在域控制器 Microsoft Windows Server 2016 或更高版本(64 位)上应用了 GPO。
我尝试通过 GPO 用户配置 -> 策略 -> 管理模板 -> Windows 组件 -> 文件资源管理器 -> “隐藏我的电脑中指定的这些驱动器”和“阻止访问我的电脑中指定的这些驱动器”来限制对所有驱动器的访问,但是,自然,我无法通过这种方式访问下载。此外,即使使用这两个 GPO,我第二次尝试后仍能够在桌面上下载图片,但我不知道为什么(第一次我遇到了限制错误,但一旦我单击“确定”并再次尝试下载,就会出现保存位置的窗口,我可以在任何地方下载)。
我删除了之前的 2 个 GPO,并尝试了另一个 GPO 计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 文件系统,并尝试添加每个文件夹,只有读取权限,但下载文件夹除外,下载文件夹具有写入权限(仅适用于交付组“用户”) - 但这不起作用,因此我尝试将“拒绝”设置为“完全访问”,甚至拒绝用户交付组对所有文件夹和驱动器的读取权限,但下载文件夹除外,下载文件夹再次具有写入权限。这次,我无法使用测试用户帐户访问 C:\,但是,即使具有拒绝权限,我仍然可以访问其余文件夹,并且仍然可以下载文件并保存它们(这次我甚至没有收到不允许的提示。)
我读到也可以调整注册表项来限制下载和访问,但我不确定如何做到这一点以及它是否会对我有帮助。
我希望我已经总结得足够好了,但如果我没有并且遗漏了什么,请告诉我,我会尝试更好地回答/解释。
PS:我忘了说我已经将测试机和测试账户添加到组策略管理中的安全过滤中,并且创建了一个测试 OU,并且 GPO 已应用并仅链接到测试 OU。我已删除经过身份验证的用户,以防止将此策略应用于整个域。
问候,斯蒂芬妮