如何在 Windows 10 中更改 C: 的權限?
對於我們的 Windows 10(教育版)安裝映像,我想阻止使用者在
C:\. 該安裝是由學生在教室里共享 PC 使用的,因此我們希望保持磁碟的主目錄乾淨(他們都有主目錄來儲存他們的數據)。在目前安裝的 Windows 7 中,我可以非常簡單地使用標準 Windows GUI 編輯權限。使用 Windows 10,它會失敗。我已經嘗試過的:
- 從 GUI 更改權限 →無法列舉容器中的對象(訪問被拒絕)。
- 從 GUI 獲取目錄的所有權
C:\→訪問被拒絕- 從 GUI添加拒絕條目,而不更改現有權限 →拒絕訪問
cacls使用提升的命令提示符更改權限→拒絕訪問- 使用命令從提升的命令提示符獲取所有權
takeown /f c:\ /a→拒絕訪問- 來自在 SYSTEM 使用者下執行的命令提示符的相同
cacls和takeown命令(使用 獲得psexec64)→訪問被拒絕儘管允許使用者創建自己的文件夾(不允許新文件)不應該是安全風險
C:\,但這不是我們想要的,因為我們希望確保人們使用他們的家(有備份和快照,與本地 PC 硬碟不同)。權限
C:\看起來與 Windows 7 Enterprise 安裝上的相同,包括強制標籤(icacls在兩種情況下都顯示Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)),並且所有者相同(TrustedInstaller),所以我不希望看到 Windows 7 和 Windows 之間的區別10 對此。現在,有一個實際可行的選項:使用
caclsWindows 10 恢復命令提示符。然而,雖然這個解決方案對於映像部署來說很好,但我們也有幾台機器需要手動更正,因為我們無法重新映像它們。儘管我可以通過 PXE 啟動 Windows 10 恢復(使用memdiskCD 的 ISO 映像),但如果這可以在機器上執行的實際作業系統中完成,那將非常有幫助。如果它可以與 GPO 合二為一,那就更好了。
將此放在答案中,以便永久記錄:Windows 10 不會阻止您更改 C 驅動器根目錄的權限。OP 已確認此行為是由他們的防病毒軟體引起的。
不是直接的答案,但由於它是共享電腦,因此有一個 GPO 將限制整個 C 驅動器,同時允許安裝在其上的程序執行。
這只會阻止使用者瀏覽 C 驅動器,即使從另存為 Windows 也是如此。這可能是一個很好的解決方法。
使用者配置\管理模板\Windows 組件\Windows
防止從我的電腦訪問驅動器。
並且只限制 C 盤