Я хотел бы использовать настройки GPO, чтобы заблокировать пользователям возможность создавать папки и файлы в корневом каталоге в Windows 10.
Искаля в Интернете, я нашел настройку
Конфигурация компьютера -> Политики -> Настройки Windows -> Безопасность
Настройки -> Файловая система
где я создал запись для %SystemDrive%\, где аутентифицированным пользователям установлено “Запретить” на “Создание файлов/Запись данных” и “Создание папок/Дополнение данных“, применимо к “Эта папка только“.
После сохранения и связывания GPO я перезагрузил рабочую станцию, чтобы получить новые политики, но настройки не блокируют ничего.
Есть идеи, что может быть не так? Есть ли другие предложения для достижения того же результата?
Большое спасибо.
Мы можем попробовать решить проблему следующим образом:
Находится ли Windows 10 в доменной среде? Если она находится в домене, мы можем запустить отчет gpresult в Windows 10, чтобы увидеть, применяется ли политика. Если она применяется, но не может заблокировать создание папок и файлов, перейдите ко второму шагу.
Заблокируйте другие папки в корневом каталоге, чтобы увидеть, можно ли успешно применить групповую политику. Если да, возможно, нельзя установить разрешение на корневой каталог системы.
Если Windows 10 не находится в доменной среде, имейте в виду, что этот процесс доступен только для домена с сервером, работающим с функцией управления групповыми политиками… автономные системы и рабочие группы все еще нуждаются в ручном назначении этих разрешений! Поэтому мы можем попробовать установить разрешения вручную.
Ссылка:
Назначение разрешений на файлы и папки через групповую политику
Плохая идея. Не стоит туда ходить.
Если только ВСЕ ваши системы не заблокированы до такой степени, что никому никогда не потребуется установить что-либо.
Блокировка создания папок/файлов в корне системного диска сломает много программ, особенно установщиков драйверов, так как они часто создают рабочие папки непосредственно из корня диска.
Также обновления Windows 10 (и, вероятно, некоторые другие обновления Windows) должны записывать в корневую папку.
И некоторые системные процессы, такие как гибернация, вероятно, тоже это не любят.
А “ЗАПРЕТИТЬ аутентифицированным пользователям”, как некоторые люди предлагают в других ответах, ТАКЖЕ является ЗАПРЕТОМ для администраторов. ЗАПРЕТ перевешивает все. Администратор может это отменить, но это требует ручного вмешательства, чего WindowsUpdate и т.д. не могут сделать.
В управляемой программной среде (например, SCCM) вы можете создать что-то вроде оболочки вокруг каждого установщика, но это много работы.
Или вы можете использовать локальную (недоменную) учетную запись администратора для SCCM и ограничить доступ к папкам для “Доменных пользователей”. Но это тоже сложно настроить и может представлять риск безопасности. (Вам нужно настроить индивидуальные пароли для этой учетной записи на каждом компьютере и хранить их где-то для использования SCCM. Если вы используете один и тот же пароль везде, если один будет скомпрометирован, это касается каждого компьютера.)
На самом деле: Компания, в которой я работаю, делает это именно так с SCCM и индивидуальными местными учетными записями администратора на каждом компьютере (около 200000 систем), но мы не настолько безумны, чтобы блокировать корневой диск. Слишком много потенциальных проблем и странных побочных эффектов.
Ответ или решение
Как заблокировать создание папок и файлов в корневом каталоге Windows 10 с помощью GPO
Если вы хотите заблокировать пользователям возможность создавать папки и файлы в корневом каталоге системы Windows 10 с помощью групповой политики (GPO), обратите внимание на некоторые техники и советы, которые помогут вам достичь этой цели.
Шаг 1: Создание GPO
Открытие редактора групповой политики:
Запустите gpmc.msc для открытия консоли управления групповыми политиками.
Создайте новую групповую политику или выберите существующую.
Настройка прав доступа к файловой системе:
Перейдите к: Конфигурация компьютера -> Политики -> Настройки Windows -> Безопасность -> Файловая система.
Создайте новый объект файловой системы для %SystemDrive%\.
Добавьте группу "Аутентифицированные пользователи" и установите для нее права "Запретить" на "Создание файлов/запись данных" и "Создание папок/добавление данных". Убедитесь, что применяете настройки только к "Этой папке".
Применение и обновление политики:
Примените GPO к нужным OU (Organizational Units) или к сети.
После сохранения настроек проверьте результат с помощью команды gpupdate /force на целевой машине.
Шаг 2: Проверка применения GPO
Для диагностики проверьте, применяется ли ваша GPO на целевых машинах:
Выполните команду gpresult /h gpresult.html, чтобы сгенерировать отчет, который покажет, какие политики применяются.
Откройте файл gpresult.html и убедитесь, что ваша созданная политика отображается.
Шаг 3: Возможные проблемы и альтернативы
Несмотря на то что вы успешно настроили GPO, может возникнуть несколько проблем, которые помешают корректной блокировке:
Конфликт с другими политиками:
Убедитесь, что другие GPO не переопределяют ваши настройки. Проверьте, нет ли более высокого приоритета политики, предоставляющей право на создание файлов.
Учетные записи пользователей и группы:
Возможное отсутствие влияния из-за различных учетных записей или ролей пользователей. Убедитесь, что права в политики применяются именно к нужной группе.
Недостаточная защита системы:
Имейте в виду, что полное блокирование создания файлов в корне может вызвать побочные эффекты, такие как сбои в установки программ или обновления Windows. Администраторы могут столкнуться с затруднениями при выполнении стандартных задач.
Заключение
Блокировка создания папок и файлов в корневом каталоге Windows 10 с помощью GPO является сложной задачей, но с соблюдением правильных шагов и проверкой на ошибки вы можете добиться желаемых результатов. Однако рекомендую быть осторожным с такими ограничениями, чтобы избежать потенциальных проблем с функционированием системы и программ.