Como alterar as permissões em C: \ no Windows 10?

1

Para nossa imagem de instalação do Windows 10 (versão do Google Apps Education), eu gostaria de evitar que os usuários criem novas pastas no C:\ . A instalação é usada por alunos que compartilham PCs em uma sala de aula e, portanto, queremos manter o diretório principal do disco limpo (todos eles têm diretórios pessoais para armazenar seus dados). Na instalação atual do Windows 7, eu poderia simplesmente editar as permissões usando a GUI padrão do Windows. Com o Windows 10, ele falha.

O que eu já tentei:

  • Alterando as permissões da GUI → Falha ao enumerar objetos no contêiner (Acesso negado) .
  • Assumindo a propriedade do diretório C:\ da GUI → O acesso é negado
  • Adicionando uma entrada Negar da GUI, sem alterar as permissões existentes → O acesso é negado
  • Alterando as permissões usando cacls de um prompt de comando elevado → Acesso negado
  • Assumir a propriedade de um prompt de comando elevado usando o comando takeown /f c:\ /a O acesso é negado
  • Os mesmos comandos cacls e takeown de um prompt de comando executado sob o usuário SYSTEM (obtido com psexec64 ) → Acesso negado

Apesar de não ser um risco de segurança permitir que os usuários criem sua própria pasta em C:\ (novos arquivos não são permitidos), isso não é o que queremos, porque gostaríamos de garantir que as pessoas usem sua casa (que tem backups e snapshots, ao contrário dos discos rígidos locais do PC).

As permissões em C:\ são as mesmas que estavam em uma instalação do Windows 7 Enterprise, incluindo o rótulo obrigatório ( icacls é exibido em ambos os casos Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW) ) e o proprietário é o mesmo ( TrustedInstaller ). então eu não esperaria ver uma diferença entre o Windows 7 e o Windows 10 nisso.

Agora, há uma opção que realmente funciona : usando cacls no prompt de comando de recuperação do Windows 10. No entanto, embora essa solução seja adequada para a implantação da imagem, também temos várias máquinas que precisam ser corrigidas manualmente, porque não podemos refazê-las novamente. Apesar do fato de que eu posso inicializar a recuperação do Windows 10 em PXE (usando memdisk e uma imagem ISO do CD), seria muito útil se isso pudesse ser feito dentro do sistema operacional real em execução nas máquinas. Melhor ainda se pode ser um com um GPO.

    
por Ale 05.07.2018 / 13:27

2 respostas

1

Colocando isso em uma resposta, então há um registro permanente: o Windows 10 não impede que você altere as permissões na raiz da unidade C. O OP confirmou que esse comportamento foi causado por seu software antivírus.

    
por 07.07.2018 / 01:02
0

Não é uma resposta direta, mas como são computadores compartilhados, há um GPO que restringe a unidade C inteira, permitindo que o programa instalado nela funcione.

Isso só irá bloquear o usuário para navegar na unidade C, mesmo a partir de um salvamento como janelas. Pode ser uma boa solução.

Configuração do usuário \ Modelos administrativos \ Componentes do Windows \ Windows

Impedir o acesso a unidades do Meu computador .

E Restringir somente a unidade C

    
por 05.07.2018 / 18:36