对于我们的 Windows 10(教育版)安装映像,我想阻止用户在C:\. 该安装是由学生在教室里共享 PC 使用的,因此我们希望保持磁盘的主目录干净(他们都有主目录来存储他们的数据)。在当前安装的 Windows 7 中,我可以非常简单地使用标准 Windows GUI 编辑权限。使用 Windows 10,它会失败。
我已经尝试过的:
- 从 GUI 更改权限 →无法枚举容器中的对象(访问被拒绝)。
- 从 GUI 获取目录的所有权
C:\→访问被拒绝 - 从 GUI添加拒绝条目,而不更改现有权限 →拒绝访问
cacls使用提升的命令提示符更改权限→拒绝访问- 使用命令从提升的命令提示符获取所有权
takeown /f c:\ /a→拒绝访问 - 来自在 SYSTEM 用户下运行的命令提示符的相同
cacls和takeown命令(使用 获得psexec64)→访问被拒绝
尽管允许用户创建自己的文件夹(不允许新文件)不应该是安全风险C:\,但这不是我们想要的,因为我们希望确保人们使用他们的家(有备份和快照,与本地 PC 硬盘不同)。
权限C:\看起来与 Windows 7 Enterprise 安装上的相同,包括强制标签(icacls在两种情况下都显示Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)),并且所有者相同(TrustedInstaller),所以我不希望看到 Windows 7 和 Windows 之间的区别10 对此。
现在,有一个实际可行的选项:使用caclsWindows 10 恢复命令提示符。然而,虽然这个解决方案对于映像部署来说很好,但我们也有几台机器需要手动更正,因为我们无法重新映像它们。尽管我可以通过 PXE 启动 Windows 10 恢复(使用memdiskCD 的 ISO 映像),但如果这可以在机器上运行的实际操作系统中完成,那将非常有帮助。如果它可以与 GPO 合二为一,那就更好了。
将此放在答案中,以便永久记录:Windows 10 不会阻止您更改 C 驱动器根目录的权限。OP 已确认此行为是由他们的防病毒软件引起的。
不是直接的答案,但由于它是共享计算机,因此有一个 GPO 将限制整个 C 驱动器,同时允许安装在其上的程序运行。
这只会阻止用户浏览 C 驱动器,即使从另存为 Windows 也是如此。这可能是一个很好的解决方法。
用户配置\管理模板\Windows 组件\Windows
防止从我的电脑访问驱动器。
并且只限制 C 盘