Voici ma réponse initiale :
Ce n’est vraiment pas le comportement par défaut, donc il y a quelque chose d’inhabituel. Soit les permissions par défaut ont été modifiées (ce qui, si je me souviens bien, n’est pas facile avec les armes conventionnelles), soit ils sont membres des administrateurs (je sais que vous avez dit qu’ils ne le sont pas, mais cela pourrait être une appartenance indirecte), des utilisateurs avec pouvoir, ou des opérateurs de sauvegarde. Éventuellement aussi des opérateurs d’impression.
J’apprécie que ce ne soit pas ce que vous voulez entendre étant donné combien vous avez insisté sur le fait que les utilisateurs ne sont pas administrateurs, mais j’ai examiné ce genre de chose des dizaines de fois pour des gens et il s’avère toujours que c’est quelque chose comme “Oh, je suppose que mon collègue a ajouté ‘tout_le_personnel’ au groupe ‘administrateurs’ un jour parce que le PDG lui criait dessus pour ne pas pouvoir se connecter en RDP au serveur depuis la maison”.
Et c’est très inexact, mais cela mérite de rester comme illustration d’une croyance longtemps tenue qui n’est pas testée assez souvent. Je crois que c’est un changement de comportement par rapport aux versions antérieures de Windows, mais je ne suis pas sûr de quand le changement a eu lieu.
J’ai testé avec Windows 10 Pro et Enterprise au cas où ils auraient des paramètres par défaut différents, et les utilisateurs peuvent parcourir les partages administratifs locaux et vos options pour contrôler cela semblent plutôt limitées, j’en ai peur. Vous pouvez désactiver les partages administratifs comme le suggère mdpc (voir https://support.microsoft.com/en-gb/help/954422/how-to-remove-administrative-shares-in-windows-server-2008) pour une source Microsoft à ce sujet) mais cela pourrait interférer avec le fonctionnement de divers outils d’administration sur ces ordinateurs (par exemple, pourrait empêcher le déploiement/mise à jour automatique d’agents) donc je recommanderais vraiment de ne pas le faire.
Masquer le lecteur de la manière que vous décrivez via GPO n’a rien à voir avec les permissions sur le lecteur ou le partage, d’ailleurs. Cela déclenche simplement un indicateur dans Windows pour masquer certaines lettres de lecteur. Ce n’est pas fiable ni robuste et j’ai vu beaucoup d’administrateurs en éducation, par exemple, devenir fous en essayant de verrouiller cela contre tout ce que les étudiants peuvent faire, mais c’est futile.
Cependant… Bien que les utilisateurs puissent accéder à leur partage administratif local, ils ne peuvent pas accéder aux partages sur d’autres PC, et leur accès via le partage ne leur accorde toujours que le même accès qu’ils auraient ‘normalement’. Par conséquent, les utilisateurs ne peuvent pas ‘pirater’ le système de cette manière ; ils ne peuvent pas modifier des choses pour lesquelles ils n’ont pas déjà les permissions.
Vous pouvez et devriez cependant verrouiller la racine du lecteur C:. Voici quelques instructions pour le faire :
-
Allez sur votre DC, ouvrez ADUC, créez un groupe de sécurité (‘Verrouiller lecteur C’ par exemple) pour les utilisateurs qui ne pourront pas enregistrer de fichiers sur le lecteur racine.
-
Ouvrez GPMC, créez un GPO qui se lie à vos machines cibles.
-
Modifiez la stratégie et ouvrez [Configuration ordinateur | Stratégies | Paramètres Windows | Paramètres de sécurité | Système de fichiers] Faites un clic droit sur “Système de fichiers”, choisissez “Ajouter un fichier…” et sélectionnez le lecteur “C:”, Entrée.
-
Dans la page de sécurité, cliquez sur le bouton “Avancé”. Ajoutez le groupe de sécurité ‘Verrouiller lecteur C’.
-
Avec ce groupe en surbrillance, cliquez sur Avancé. Dans la fenêtre Paramètres de sécurité avancés, assurez-vous que le bon groupe est toujours sélectionné et cliquez sur Modifier.
-
Changez le Type en ‘Refuser’ et S’applique à en ‘Ce dossier uniquement’.
-
Cliquez sur le bouton ‘Afficher les permissions de base’ / ‘Afficher les permissions avancées’ pour voir les permissions avancées.
-
Cochez la permission Refuser pour les éléments suivants UNIQUEMENT : ‘Créer des fichiers / Écrire des données’ et ‘Créer des dossiers / Ajouter des données’.
-
Cliquez sur OK pour quitter l’éditeur de permissions, puis cliquez à nouveau sur OK.
-
Dans la fenêtre d’avertissement pour les permissions Refuser, cliquez sur Oui.
-
Définissez le paramètre de stratégie de sécurité sur ‘Configurer ce fichier ou dossier puis’, et choisissez ‘Propager les permissions héritables à tous les sous-dossiers et fichiers’ (c’est ici que vous vérifiez bien que l’étape 6 est absolument correcte avant de mettre ce paramètre en production).
Donnez au GPO le temps de se répliquer et de s’appliquer (gpupdate /force peut aider ici si vous êtes pressé) et vous devriez maintenant constater que les utilisateurs ne peuvent pas créer de fichiers à la racine du lecteur C. Ils ne devraient avoir la permission que sur leur propre dossier dans \users à ce stade.