Я хотел бы использовать настройку объекта групповой политики, чтобы блокировать пользователей для создания папок и файлов в корневом каталоге в Windows 10. Поиск в интернете я нашел настройки

Конфигурация компьютера -> Политики -> Настройки Windows-> Настройки безопасности-> Файловая система

где я создал запись для% SystemDrive%\, где прошедшие проверку пользователи имеют « Запретить » для « Создать файлы / Запись данных » и « Создать папки / добавить данные », примененные к « Только эта папка ».

После сохранения и связывания объекта групповой политики я перезагрузил рабочую станцию, чтобы получить новые политики, но настройки ничего не блокируют.

Есть идеи, что может быть не так? Любое другое предложение для достижения того же результата?

большое спасибо.

2 ответа2

0

Мы можем попытаться устранить неполадки, как показано ниже:

  1. Если Windows 10 находится в доменной среде? Если он находится в домене, мы можем запустить отчет gpresult в Windows 10, чтобы увидеть, применяется ли политика. Если он применяется, но не может блокировать создание папок и файлов, перейдите к шагу 2.
  2. Заблокируйте другие папки в корневом каталоге, чтобы узнать, сможем ли мы успешно применить групповую политику. Если мы можем, может быть, мы не можем установить разрешение системного корневого каталога.
  3. Если Windows 10 не находится в доменной среде, имейте в виду, что этот процесс доступен только для домена с сервером, на котором запущена функция управления групповой политикой ... автономным системам и рабочим группам по-прежнему необходимо назначать эти разрешения вручную! Таким образом, мы можем попытаться установить разрешение вручную.

Ссылка:

Назначение разрешений для файлов и папок с помощью групповой политики

https://www.linkedin.com/pulse/assign-file-folder-permissions-via-group-policy-farid-soltani

Создание объектов групповой политики безопасности файловой системы

https://library.netapp.com/ecmdocs/ECMP1401220/html/GUID-A8D101D3-729F-4299-A591-4AC55A5DD12E.html

Групповая политика - примеры GPResult

https://blog.thesysadmins.co.uk/group-policy-gpresult-examples.html

0

Плохая идея. Не ходи туда.
Если ВСЕ ваши системы не будут полностью заблокированы до такой степени, что никому и никогда не потребуется ничего устанавливать.
Блокирование создания папки / файла в корне системного диска приведет к повреждению большого количества программного обеспечения, особенно установщиков драйверов устройств, поскольку они часто создают рабочие папки непосредственно из корня диска.
Кроме того, для обновления Windows 10 InPlace (и, возможно, некоторых других обновлений Windows) необходимо выполнить запись в корневую папку.
И некоторым системным процессам, таким как Hibernate, возможно, это тоже не нравится

И "DENY Authenticated Users", как некоторые люди предлагают в других ответах, ТАКЖЕ DENY для администраторов. DENY отменяет все. Администратор может отменить это, но это требует ручного вмешательства, чего не может сделать WindowsUpdate и т.д.

В управляемой программной среде (например, SCCM) вы можете обернуть что-то в качестве обертки вокруг каждого установщика, но это большая работа.
Или вы можете использовать локальную (не доменную) учетную запись администратора для SCCM и ограничить доступ к папке для "пользователей домена". Но это также сложно настроить и, возможно, создать угрозу безопасности. (Вам необходимо установить индивидуальные пароли для этой учетной записи на каждом компьютере и хранить их где-нибудь для использования SCCM. Если вы используете один и тот же пароль везде, если один взломан, каждый компьютер есть.)
Фактически: компания, в которой я работаю, фактически делает это с помощью SCCM и отдельных учетных записей локальных администраторов на каждом компьютере (около 200 000 систем), но мы не настолько сумасшедшие, чтобы заблокировать корневой диск. Слишком большой потенциал для возникновения всевозможных странных побочных эффектов / проблем.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .