Плохая идея. Не ходи туда.
Если ВСЕ ваши системы не будут полностью заблокированы до такой степени, что никому и никогда не потребуется ничего устанавливать.
Блокирование создания папки / файла в корне системного диска приведет к повреждению большого количества программного обеспечения, особенно установщиков драйверов устройств, поскольку они часто создают рабочие папки непосредственно из корня диска.
Кроме того, для обновления Windows 10 InPlace (и, возможно, некоторых других обновлений Windows) необходимо выполнить запись в корневую папку.
И некоторым системным процессам, таким как Hibernate, возможно, это тоже не нравится
И "DENY Authenticated Users", как некоторые люди предлагают в других ответах, ТАКЖЕ DENY для администраторов. DENY отменяет все. Администратор может отменить это, но это требует ручного вмешательства, чего не может сделать WindowsUpdate и т.д.
В управляемой программной среде (например, SCCM) вы можете обернуть что-то в качестве обертки вокруг каждого установщика, но это большая работа.
Или вы можете использовать локальную (не доменную) учетную запись администратора для SCCM и ограничить доступ к папке для "пользователей домена". Но это также сложно настроить и, возможно, создать угрозу безопасности. (Вам необходимо установить индивидуальные пароли для этой учетной записи на каждом компьютере и хранить их где-нибудь для использования SCCM. Если вы используете один и тот же пароль везде, если один взломан, каждый компьютер есть.)
Фактически: компания, в которой я работаю, фактически делает это с помощью SCCM и отдельных учетных записей локальных администраторов на каждом компьютере (около 200 000 систем), но мы не настолько сумасшедшие, чтобы заблокировать корневой диск. Слишком большой потенциал для возникновения всевозможных странных побочных эффектов / проблем.