Colocando isso em uma resposta, então há um registro permanente: o Windows 10 não impede que você altere as permissões na raiz da unidade C. O OP confirmou que esse comportamento foi causado por seu software antivírus.
Para nossa imagem de instalação do Windows 10 (versão do Google Apps Education), eu gostaria de evitar que os usuários criem novas pastas no C:\
. A instalação é usada por alunos que compartilham PCs em uma sala de aula e, portanto, queremos manter o diretório principal do disco limpo (todos eles têm diretórios pessoais para armazenar seus dados). Na instalação atual do Windows 7, eu poderia simplesmente editar as permissões usando a GUI padrão do Windows. Com o Windows 10, ele falha.
O que eu já tentei:
C:\
da GUI → O acesso é negado
cacls
de um prompt de comando elevado → Acesso negado
takeown /f c:\ /a
→ O acesso é negado
cacls
e takeown
de um prompt de comando executado sob o usuário SYSTEM (obtido com psexec64
) → Acesso negado
Apesar de não ser um risco de segurança permitir que os usuários criem sua própria pasta em C:\
(novos arquivos não são permitidos), isso não é o que queremos, porque gostaríamos de garantir que as pessoas usem sua casa (que tem backups e snapshots, ao contrário dos discos rígidos locais do PC).
As permissões em C:\
são as mesmas que estavam em uma instalação do Windows 7 Enterprise, incluindo o rótulo obrigatório ( icacls
é exibido em ambos os casos Mandatory Label\High Mandatory Level:(OI)(NP)(IO)(NW)
) e o proprietário é o mesmo ( TrustedInstaller
). então eu não esperaria ver uma diferença entre o Windows 7 e o Windows 10 nisso.
Agora, há uma opção que realmente funciona : usando cacls
no prompt de comando de recuperação do Windows 10. No entanto, embora essa solução seja adequada para a implantação da imagem, também temos várias máquinas que precisam ser corrigidas manualmente, porque não podemos refazê-las novamente. Apesar do fato de que eu posso inicializar a recuperação do Windows 10 em PXE (usando memdisk
e uma imagem ISO do CD), seria muito útil se isso pudesse ser feito dentro do sistema operacional real em execução nas máquinas. Melhor ainda se pode ser um com um GPO.
Não é uma resposta direta, mas como são computadores compartilhados, há um GPO que restringe a unidade C inteira, permitindo que o programa instalado nela funcione.
Isso só irá bloquear o usuário para navegar na unidade C, mesmo a partir de um salvamento como janelas. Pode ser uma boa solução.
Configuração do usuário \ Modelos administrativos \ Componentes do Windows \ Windows
Impedir o acesso a unidades do Meu computador .
E Restringir somente a unidade C