Esta foi a minha resposta inicial:
This really is not default behaviour, so you have something odd going on. Either the default permissions have been changed (which IIRC isn't easy with conventional weaponry) or they are members of administrators (I know you said they are not but this might be an indirect membership), power users, or backup operators. Possibly also Print Operators.
I appreciate that isn't what you want to hear given how well you've emphasised that users aren't admins, but I've looked into this kind of thing dozens for times for people and it always turns out to be something like "Oh, I guess my colleague added 'all_staff' to the 'administrators' group one day because the CEO was screaming at him about not being able to RDP into the server from home".
E é muito errado, mas merece ficar como uma ilustração de uma crença antiga que não está sendo testada com bastante frequência. Eu acredito que esta é uma mudança no comportamento de versões anteriores do Windows, mas não tenho certeza de quando a mudança teria acontecido.
EutesteicomoWindows10ProeEnterpriseapenasnocasodeelesteremconfiguraçõespadrãodiferentes,eosUsuáriospodemprocuraroscompartilhamentosadministrativoslocaisesuasopçõesparacontrolarissoparecembastantelimitadas..Vocêpodedesativaroscompartilhamentosadministrativosconformesugeridopelomdpc(consulte
Esconder a unidade da maneira que você descreve via GPO não tem nada a ver com permissões para a unidade ou compartilhar, por sinal. Isso simplesmente aciona um sinalizador no Windows para ocultar certas letras de unidade. Não é confiável ou robusto, e eu já vi muitos administradores em educação, por exemplo, enlouquecerem tentando ver isso de qualquer forma que os alunos possam fazer, mas é fútil.
No entanto ... Embora os usuários possam acessar o compartilhamento administrativo local, eles não podem acessar compartilhamentos em outros PCs, e o acesso deles pelo compartilhamento ainda lhes concede o mesmo acesso que normalmente teriam. Portanto, os usuários não podem "hackear" o sistema dessa maneira; eles não podem alterar as coisas que eles ainda não têm permissão para alterar.
Você pode e deve bloquear a raiz da unidade c: \ no entanto. Veja algumas instruções para fazer isso:
- Vá para o seu DC, Abra o ADUC, crie um grupo de segurança ('Lock down c drive 'say) para usuários que não poderão salvar arquivos no root dirigir.
- Abra o GPMC, crie um GPO vinculado às suas máquinas de destino.
- Edite a política e abra [Configuração do computador | Políticas | Configurações do Windows | Configurações de segurança | Sistema de arquivos] Clique com o botão direito "Sistema de arquivos", escolha "Adicionar arquivo ..." e selecione a unidade "C:", entrar.
- Na página de segurança, clique no botão "Avançado". Adicione o grupo de segurança 'Bloquear a unidade c'.
- Com esse grupo destacado, clique em Avançado. Na janela Configurações avançadas de segurança, verifique se o grupo correto ainda está selecionado e clique em Editar.
- Altereotipopara"Negar" e Aplique para "Somente esta pasta".
- Clique no botão 'Mostrar permissões básicas' / 'Mostrar permissões avançadas' para ver as permissões avançadas.
- Marque a permissão Negar apenas para os seguintes itens: "Criar arquivos / Gravar dados" e "Criar pastas / Anexar dados".
- Clique em OK para sair do editor de permissões e, em seguida, clique em Ok novamente.
- Na janela de aviso para Negar permissões, clique em Sim.
- Defina a configuração da diretiva de segurança como 'Configurar este arquivo ou pasta' e escolha 'Propagar permissões herdáveis para todas as subpastas e arquivos' (é aqui que você verifica novamente se obteve a etapa 6 absolutamente correta antes de ativar essa configuração).
Dê um tempo para o GPO replicar e aplicar ( gpupdate /force
pode ajudar aqui se você estiver com pressa) e agora você deve descobrir que os usuários não podem criar arquivos na raiz da unidade c. Eles só devem ter permissão para sua própria pasta dentro de \ users neste momento.