Bloquer le lecteur C: sans casser Bureau/Docs/Images/Téléchargements (Windows 10/11, GPO & NTFS)

Vous avez bloqué le lecteur C: via la GPO « Prevent access to drives from My Computer » et vos utilisateurs ne peuvent plus ouvrir Bureau, Documents ou Téléchargements ? Voici des solutions éprouvées pour sécuriser C: sans brider les dossiers personnels.

Vue d’ensemble de la question

De nombreux administrateurs activent la stratégie Prevent access to drives from My Computer pour empêcher toute navigation dans la racine du système. Conséquence inattendue : l’Explorateur considère que les dossiers spéciaux (Bureau, Documents, Images, Téléchargements) résident sur C:\ et bloque aussi leur ouverture. L’utilisateur obtient le message :
“This operation has been cancelled due to restrictions in effect on this computer.”

L’objectif réel est plus nuancé : interdire toute écriture et modification à la racine de C:\ et dans certains chemins sensibles, tout en laissant les dossiers personnels fonctionner normalement.

Pourquoi cette GPO casse les dossiers spéciaux

La stratégie « Prevent access… » agit côté Shell : elle empêche l’Explorateur (et les boîtes de dialogue Ouvrir/Enregistrer) d’afficher ou de parcourir des lecteurs ciblés. Comme les dossiers personnels se trouvent physiquement sous C:\Users\%USERNAME%, toute navigation vers eux est interprétée comme un accès à C:\, d’où le blocage, même si les ACL NTFS permettraient l’accès.

En clair : cette GPO est trop large pour l’objectif courant « protéger la racine ». Il faut l’encadrer par des redirections, ou la remplacer par un verrouillage NTFS ciblé.

Solutions proposées

Approche	Principe	Étapes clés	Points forts / limites
1. Redirection de dossiers	Déplacer les dossiers spéciaux vers un emplacement hors de C: (partage réseau, autre volume, conteneur FSLogix).	GPMC → Configuration utilisateur → Windows Settings → Folder Redirection : rediriger Bureau, Documents, Images, Téléchargements vers \\Serveur\Profils\%USERNAME% ou D:\Users. Appliquer ensuite la GPO de blocage sur C:.	• Conserve l’expérience utilisateur. • Centralise les données et facilite la sauvegarde. • Idéal avec FSLogix/Azure Files. • Nécessite un stockage fiable et dimensionné.
2. Verrouillage NTFS ciblé	Restreindre uniquement la racine de C:\ par permissions (sans toucher C:\Users).	Sur C:\, retirer/refuser « Créer des fichiers/dossiers » pour Users sur Ce dossier uniquement. Laisser l’héritage intact pour C:\Users afin que les profils restent pleinement fonctionnels.	• Aucune redirection nécessaire. • Pas de message d’erreur sur les dossiers spéciaux. • Exige un test soigné pour ne pas gêner un service mal conçu.
3. Masquage plutôt que blocage (optionnel)	Ne pas interdire l’accès, seulement cacher le lecteur C: dans l’Explorateur.	GPMC → Hide these specified drives in My Computer pour C:.	• Utile pour réduire la tentation. • N’empêche pas l’accès par chemin direct ou PowerShell : à coupler avec NTFS si l’on veut une vraie protection.

Matrice de décision rapide

Environnement	Recommandation	Pourquoi
AD DS + postes fixes	Redirection de dossiers	Sauvegardes centralisées, restauration simple, data hors C:.
AD DS + portables	Redirection + cache hors connexion ou NTFS ciblé	Résilience en mobilité et sécurité locale.
RDS / VDI / AVD	FSLogix + redirection minime + NTFS ciblé	Performance et profils persistants, racine protégée.
Parc hétérogène sans stockage réseau fiable	NTFS ciblé (éviter « Prevent access… » seul)	Simples ACL locales, pas de dépendance réseau.

Approche 1 : redirection de dossiers (conseillée en domaine)

Préparer le partage

1. Créer \\Serveur\Profils (ou \\Serveur\Users).
2. Partage SMB : Administrators : Full Control ; Authenticated Users/Domain Users : Change, Read.
3. NTFS :
   • Administrators : Full Control (This folder, subfolders and files)
   • SYSTEM : Full Control
   • Utiliser la permission « Creator Owner : Full Control (Subfolders and files only) » pour que chaque sous-dossier %USERNAME% soit privé.
4. Activer clichés instantanés et quotas si disponibles (récupération rapide, maîtrise de l’espace).

Configurer la redirection dans la GPMC

1. GPMC → User Configuration → Windows Settings → Folder Redirection.
2. Pour Documents, Desktop, Pictures, Downloads :
   • Mode Basic (rediriger tout le monde vers le même emplacement racine).
   • Chemin racine : \\Serveur\Profils\%USERNAME%.
   • Options recommandées :
     • Move the contents to the new location : Oui (migration transparente).
     • Grant the user exclusive rights : désactivé pour simplifier le support (sinon l’admin perd l’accès).
     • Policy Removal : Leave the folder in the new location when policy is removed.
3. Appliquer (link) la GPO à l’OU des utilisateurs et tester.

Appliquer le blocage de C:

1. Dans la même GPO ou une GPO dédiée, User Configuration → Administrative Templates → Windows Components → File Explorer :
2. Hide these specified drives in My Computer : Enabled, C: only.
3. Prevent access to drives from My Computer : Enabled, C: only.

Les dossiers spéciaux redirigés ne pointent plus vers C:\ ; l’utilisateur peut les ouvrir, tandis que la racine système reste hors de portée.

Hors connexion et performance

• Activer le cache hors connexion (Offline Files) pour les portables ; définir la stratégie de mise en cache (auto ou forcée) selon la latence du site.
• En RDS/AVD, privilégier FSLogix Profile Containers pour le profil complet et garder la redirection au strict minimum (Desktop/Docs si besoin).

Approche 2 : verrouillage NTFS ciblé (sans redirection)

Objectif : empêcher la création de fichiers/dossiers à la racine de C:\ sans toucher aux profils utilisateurs. L’idée est d’ajouter un refus d’écriture sur C:\ uniquement, sans l’hériter vers les sous-dossiers.

Étapes GUI

1. Clic droit sur C:\ → Propriétés → Sécurité → Avancé.
2. Désactiver l’option « Remplacer toutes les entrées d’autorisations des objets enfants » (ne pas casser l’héritage vers C:\Users).
3. Ajouter une entrée pour le groupe intégré Users (ou Utilisateurs selon la langue) :
   • Type : Refuser (ou retirer les autorisations de création si elles existent).
   • Appliquer à : Ce dossier uniquement.
   • Cocher Créer des fichiers / écrire des données et Créer des dossiers / ajouter des données.
4. Vérifier que SYSTEM et Administrators conservent Contrôle total.

Script icacls (déploiement GPO ou EDR)

:: Sauvegarder l’ACL actuelle (prudence)
icacls C:\ /save C:\acl_c_root_backup.txt

\:: Ajouter un DENY sur la création de fichiers/dossiers pour Users, CE DOSSIER UNIQUEMENT
\:: WD = Write Data / Add File, AD = Append Data / Add Subdirectory
icacls C:\ /deny Users:(WD,AD)

\:: (Option) sur OS FR, le groupe peut s’appeler "Utilisateurs"
\:: icacls C:\ /deny "Utilisateurs":(WD,AD) 

Important : le Deny s’applique par défaut à l’objet courant uniquement (pas d’héritage), ce qui est précisément recherché. Laisser l’héritage existant pour les sous-dossiers (notamment C:\Users) afin que les profils restent intacts.

Exclusions utiles

Si une application legacy exige d’écrire sous un dossier précis (ex.: C:\Tools), créez-le et autorisez uniquement les comptes/services nécessaires.

md C:\Tools
icacls C:\Tools /grant Users:(OI)(CI)(M)

Validation

• Avec un compte standard, tenter echo test>C:\t.txt → Accès refusé.
• Vérifier l’accès à C:\Users\%USERNAME%\Documents → OK.
• Contrôler l’absence d’erreurs lors de l’installation de mises à jour applicatives pilotées par un service LocalSystem (non impacté).

Approche 3 : masquage du lecteur C:

Cette option n’est pas une sécurité ; elle désamorce surtout la curiosité. Activez-la en complément pour un meilleur confort utilisateur.

1. GPMC → User Configuration → Administrative Templates → Windows Components → File Explorer.
2. Hide these specified drives in My Computer : C: only.

Bonnes pratiques complémentaires

• Combiner GPO et NTFS : la GPO « Prevent access… » touche l’Explorateur ; les ACL NTFS protègent contre n’importe quel exécutable (PowerShell, cmd, éditeurs…).
• Tester sur un groupe pilote : un refus NTFS mal ciblé peut gêner un service tiers. Valider Windows Update, antivirus/EDR, déploiements applicatifs.
• Cache hors connexion et quotas : en redirection réseau, activez le cache hors connexion pour la mobilité et définissez quotas/clichés pour la restauration utilisateur.
• RDS / AVD : privilégier FSLogix, conserver une racine C:\ strictement en lecture pour les utilisateurs.
• Documentation : exportez la GPO, notez précisément les chemins redirigés et les ACL ajoutées. Un changement hâtif peut bloquer même un administrateur.

Étapes détaillées — scénario de référence

Objectif

Parc Windows 10/11 joint au domaine. Exigence : verrouiller C:\, garder l’expérience utilisateur intacte sur Bureau/Docs/Images/Téléchargements, éviter la perte de données, faciliter la sauvegarde.

Étape A — Créer et lier la GPO « Redirection & Sécurité C »

1. Créer une GPO vide et la lier à l’OU des utilisateurs.
2. Dans Folder Redirection, rediriger Desktop, Documents, Pictures, Downloads vers \\Serveur\Profils\%USERNAME%.
3. Dans File Explorer :
   • Hide these specified drives in My Computer : C: only.
   • Prevent access to drives from My Computer : C: only.
4. Déployer un script icacls au logon (User) ou au démarrage (Computer) qui ajoute le Deny sur la racine C:\ (si vous voulez une garantie NTFS côté machine).

Étape B — Partage réseau durci

• SMB : forcer la signature, limiter l’ancien dialecte, auditer l’accès.
• NTFS : ne pas donner « Full Control » à « Everyone » ; préférer « Authenticated Users : Modify » + surveillance via journaux.

Étape C — Tests fonctionnels

• GPResult : gpresult /r /scope user pour vérifier l’application de la GPO.
• RSoP : rsop.msc pour voir la redirection effective.
• Event Viewer : Applications and Services Logs → Microsoft → Windows → GroupPolicy → Operational.
• Parcours utilisateur : ouvrir/enregistrer dans les quatre dossiers spéciaux, pièces jointes Outlook, téléchargements Edge/Chrome.

Scripts prêts à l’emploi

Masquer et bloquer C: côté registre (poC/standalone)

Les deux paramètres ci-dessous sont l’équivalent registre des GPO « Hide… » et « Prevent access… ». Utiliser plutôt les GPO en production.

Fonction	Clé & valeur	Bitmask (exemples)
Masquer un lecteur	HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (DWORD)	C: 4   |   D: 8   |   C+D: 12
Empêcher l’accès	HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive (DWORD)	Mêmes valeurs que ci-dessus

New-Item -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Force | Out-Null
New-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'NoDrives' -PropertyType DWord -Value 4 -Force | Out-Null
New-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'NoViewOnDrive' -PropertyType DWord -Value 4 -Force | Out-Null

# Revenir en arrière

Remove-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer' -Name 'NoDrives','NoViewOnDrive' -ErrorAction SilentlyContinue 

ACL NTFS — modèle minimal

:: Sauvegarde ACL
icacls C:\ /save C:\acl_c_root_backup.txt

\:: Interdire création au niveau racine (pas d’héritage)
icacls C:\ /deny Users:(WD,AD)

\:: (Option) créer un bac à sable autorisé
md C:\Workspace
icacls C:\Workspace /grant Users:(OI)(CI)(M) 

Contrôles de conformité

• Écriture dans C:\ interdite pour un utilisateur standard.
• Ouverture/écriture OK dans Bureau, Documents, Images, Téléchargements.
• Les téléchargements des navigateurs arrivent dans le dossier redirigé.
• Les installations administratives (MSI/MSIX) et mises à jour fonctionnent.
• Restauration rapide possible (clichés instantanés, sauvegarde côté serveur).

Erreurs courantes et remèdes

• Tout le profil est bloqué : vous avez propagé le Deny en héritage. Corriger l’entrée pour « Ce dossier uniquement ».
• Admin sans accès aux dossiers redirigés : l’option « Exclusive rights » était activée. Désactiver et reprendre la propriété si nécessaire.
• Applications historiques écrivent dans C:\ : créer un dossier dédié (C:\Tools) avec ACL explicites et mettre à jour la configuration applicative.
• Performances réseau en redirection : activer le cache hors connexion, vérifier la latence SMB, limiter la redirection aux dossiers critiques.
• GPO non appliquée : vérifier la portée (LSDOU), les filtres de sécurité/WMI, gpupdate /force, puis gpresult /h report.html.

FAQ rapide

Q : Peut-on n’utiliser que « Prevent access… » ?
R : Oui, mais vous bloquerez les dossiers spéciaux si vous ne les redirigez pas. Préférez le verrouillage NTFS ciblé, ou combinez les deux avec redirection.

Q : Le masquage de C: suffit-il ?
R : Non. Il s’agit d’un confort visuel qui ne résiste ni à un chemin direct, ni à PowerShell.

Q : Et sur des PC Azure AD Join / Intune ?
R : Utilisez la Settings Catalog pour File Explorer (équivalents MDM) et déployez une Custom OMA-URI ou un script PowerShell pour l’ACL NTFS.

Check-list de mise en production

1. Décider : redirection, NTFS, ou hybride.
2. Préparer le partage et les ACL serveur (sauvegardes, quotas, clichés).
3. Créer la/les GPO : redirection, masquage et/ou blocage de C:, script icacls.
4. Lier aux OU pilotes et tester avec compta/ops/dev.
5. Valider navigateur, Office, LOB apps, mises à jour.
6. Mettre en place un plan de retour arrière (sauvegarde ACL, scripts undo).
7. Documenter la configuration et l’ordonancement des GPO (LSDOU, loopback si RDS).
8. Déployer par vagues, surveiller les journaux (GroupPolicy\Operational).

Résumé

La GPO « Prevent access to drives… » est efficace pour décourager l’exploration de C:\ mais, seule, elle perturbe les dossiers personnels. Pour atteindre l’objectif « racine système inviolable, dossiers utilisateurs intacts », adoptez l’une des deux voies sûres :

• Redirection de dossiers + (optionnel) masquage/blocage Shell : expérience transparente et données centralisées.
• Verrouillage NTFS ciblé sur C:\ (ce dossier uniquement) : simple, local, sans redirection.

Dans les deux cas, testez, journalisez et conservez un script de restauration d’ACL. Vous protégerez la racine du système sans perturber l’accès normal à Bureau, Documents, Images et Téléchargements.

Annexes

Repères « Known Folders »

Dossier	Chemin par défaut	Remarque
Bureau	C:\Users\%USERNAME%\Desktop	Très sensible aux redirections.
Documents	C:\Users\%USERNAME%\Documents	Souvent volumineux ; activer clichés côté serveur.
Images	C:\Users\%USERNAME%\Pictures	Peut être exclu du profil FSLogix si redirigé.
Téléchargements	C:\Users\%USERNAME%\Downloads	Utile à rediriger pour éviter C:\ saturé.

Revenir en arrière (rollback)

:: Retrait du DENY sur C:\
icacls C:\ /remove:d Users
icacls C:\ /remove:d "Utilisateurs" 2>nul

\:: Restauration de l’ACL si besoin
icacls C:\ /restore C:\acl\_c\_root\_backup.txt

\:: Supprimer les clés de masquage/blocage côté utilisateur
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoViewOnDrive /f 

En appliquant l’une de ces méthodes (ou une combinaison), vous protégerez la racine du système sans perturber l’accès normal des utilisateurs à leurs dossiers personnels.