File-Permissions

如何在 Windows 10 中更改 C: 的權限?

  • July 6, 2018

對於我們的 Windows 10(教育版)安裝映像,我想阻止使用者在C:\. 該安裝是由學生在教室里共享 PC 使用的,因此我們希望保持磁碟的主目錄乾淨(他們都有主目錄來儲存他們的數據)。在目前安裝的 Windows 7 中,我可以非常簡單地使用標準 Windows GUI 編輯權限。使用 Windows 10,它會失敗。

我已經嘗試過的:

  • 從 GUI 更改權限 →無法列舉容器中的對象(訪問被拒絕)
  • 從 GUI 獲取目錄的所有權C:\訪問被拒絕
  • 從 GUI添加拒絕條目,而不更改現有權限 →拒絕訪問
  • cacls使用提升的命令提示符更改權限→拒絕訪問
  • 使用命令從提升的命令提示符獲取所有權takeown /f c:\ /a拒絕訪問
  • 來自在 SYSTEM 使用者下執行的命令提示符的相同caclstakeown命令(使用 獲得psexec64)→訪問被拒絕

儘管允許使用者創建自己的文件夾(不允許新文件)不應該是安全風險C:\,但這不是我們想要的,因為我們希望確保人們使用他們的家(有備份和快照,與本地 PC 硬碟不同)。

權限C:\看起來與 Windows 7 Enterprise 安裝上的相同,包括強制標籤(icacls在兩種情況下都顯示Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)),並且所有者相同(TrustedInstaller),所以我不希望看到 Windows 7 和 Windows 之間的區別10 對此。

現在,有一個實際可行的選項:使用caclsWindows 10 恢復命令提示符。然而,雖然這個解決方案對於映像部署來說很好,但我們也有幾台機器需要手動更正,因為我們無法重新映像它們。儘管我可以通過 PXE 啟動 Windows 10 恢復(使用memdiskCD 的 ISO 映像),但如果這可以在機器上執行的實際作業系統中完成,那將非常有幫助。如果它可以與 GPO 合二為一,那就更好了。

將此放在答案中,以便永久記錄:Windows 10 不會阻止您更改 C 驅動器根目錄的權限。OP 已確認此行為是由他們的防病毒軟體引起的。

不是直接的答案,但由於它是共享電腦,因此有一個 GPO 將限制整個 C 驅動器,同時允許安裝在其上的程序執行。

這只會阻止使用者瀏覽 C 驅動器,即使從另存為 Windows 也是如此。這可能是一個很好的解決方法。

使用者配置\管理模板\Windows 組件\Windows

防止從我的電腦訪問驅動器

並且只限制 C 盤

引用自:https://serverfault.com/questions/919579