Vuoi bloccare l’accesso indiscriminato al disco C: su Windows Server 2022 senza “rompere” Desktop, Documenti, Immagini e Download? In questa guida pratica spiego come farlo correttamente con GPO, Folder Redirection e valide alternative, evitando l’errore “This operation has been cancelled…”.
Scenario e problema
In molti ambienti RDS/AVD o su server terminali ospitati in Azure, gli amministratori desiderano impedire agli utenti di navigare nel disco di sistema per motivi di sicurezza e ordine. Un approccio frequente è applicare la GPO Prevent access to drives from My Computer selezionando l’unità C:. Tuttavia, questo può bloccare anche le Known Folders del profilo utente (Desktop, Documenti, Immagini, Download), che per impostazione predefinita risiedono in C:\Users<utente>. Il risultato tipico è l’errore:
“This operation has been cancelled due to restrictions in effect on this computer.”
Per ottenere sicurezza senza penalizzare l’operatività, va adottato un modello che separi il profilo (o almeno le sue cartelle chiave) dall’unità bloccata, oppure si deve cambiare strategia di controllo.
Strategia di alto livello
L’obiettivo è proteggere C: e al tempo stesso conservare l’accesso pieno alle cartelle del profilo. Le strade percorribili sono diverse; la più solida in contesti enterprise è reindirizzare le cartelle a una share di rete (Folder Redirection) e solo dopo limitare l’accesso a C:. Per casi meno stringenti, si può semplicemente nascondere C: oppure rafforzare permessi NTFS e/o introdurre controllo applicazioni.
Confronto sintetico delle soluzioni
| Approccio | Come funziona | Pro | Contro / Note |
|---|---|---|---|
| Folder Redirection (consigliato) | Con una GPO si reindirizzano Desktop, Documenti, Immagini, Download a una share di rete (es. \\FileSrv\UserFolders$\%username%). Poi si può bloccare C: senza impatto. | Tutte le cartelle profilo restano accessibili Backup centralizzato più semplice Riduzione del rischio di scritture su C: | Richiede file server affidabile e banda sufficiente L’accesso dipende dalla rete Va pianificato l’uso di Offline Files o alternative |
| “Hide these specified drives” al posto di “Prevent access” | Nasconde l’unità C: in Esplora file, ma non blocca l’accesso diretto tramite percorso completo. | Le app continuano a leggere/scrivere in C:\Users Nessuna infrastruttura aggiuntiva | È solo “security by obscurity” L’utente può digitare C:\ nella barra degli indirizzi |
| NTFS ACL mirate | Si mantiene visibile C: ma si rimuove il diritto di scrittura degli utenti da cartelle di sistema (C:\Windows, Program Files, ecc.) lasciando intatti i permessi su C:\Users. | Granularità elevata Nessun servizio aggiuntivo | Più complesso da gestire Occorre curare eredità e gruppi |
| Profili in VHDX (FSLogix / UPD) | Il profilo utente viene montato da una share come disco virtuale; il disco C: rimane protetto. | Ottime performance in RDS/AVD Gestione profili semplificata | Necessita licenze/compute aggiuntivi Progettazione storage fondamentale |
| AppLocker o Software Restriction Policies | Invece di bloccare il volume, si proibisce l’esecuzione/creazione di file non autorizzati in cartelle di sistema. | Controllo applicazioni efficace Riduce i rischi di esecuzione malevola | Non evita la lettura/scrittura se non configurato correttamente Richiede manutenzione delle regole |
Perché il blocco diretto di C: rompe le cartelle profilo
La GPO “Prevent access to drives from My Computer” imposta una restrizione a livello di shell/Explorer basata su una maschera di bit nel profilo utente (chiave HKCU). Quando si blocca esplicitamente C:, l’esplorazione e l’apertura delle Known Folders che puntano a C:\Users<utente> ereditano la restrizione, generando l’errore citato. Finché le cartelle Desktop, Documents, Pictures e Downloads rimangono fisicamente su C:, limitarne l’accesso dal punto di vista della shell le rende non apribili.
Procedura consigliata con Folder Redirection e blocco di C:
Di seguito una procedura collaudata che riduce al minimo i rischi:
Prerequisiti
- Active Directory funzionante e OU ben organizzate per utenti e server RDS/AVD.
- File server ad alte prestazioni (VM in Azure, Azure Files o NAS on‑prem) con backup regolare.
- DNS e connettività di rete stabili. Valuta QoS se la WAN è congestionata.
Creazione della share e permessi
- Prepara una cartella sul file server, ad esempio
D:\UserFolders. - Condividila come share amministrativa, es.
UserFolders$(il$la rende nascosta in elenco). - Permessi di share suggeriti:
- Everyone o Authenticated Users: Change (Modifica) e Read
- Administrators/Domain Admins: Full Control
- Permessi NTFS sulla radice
D:\UserFolders:- SYSTEM: Full Control
- Domain Admins: Full Control
- CREATOR OWNER: Full Control (solo su sottocartelle/oggetti)
- Authenticated Users: List folder / Read (solo questa cartella)
Esempio di creazione share via PowerShell:
# Esegui in una sessione elevata sul file server
New-Item -ItemType Directory -Path "D:\UserFolders" -Force | Out-Null
New-SmbShare -Name "UserFolders$" -Path "D:\UserFolders" -ChangeAccess "Authenticated Users" -FullAccess "DOMAIN\Domain Admins","NT AUTHORITY\SYSTEM"
Set ACL di base
icacls "D:\UserFolders" /inheritance:r
icacls "D:\UserFolders" /grant "NT AUTHORITY\SYSTEM:(OI)(CI)(F)" "DOMAIN\Domain Admins:(OI)(CI)(F)" "CREATOR OWNER:(OI)(CI)(IO)(F)"
icacls "D:\UserFolders" /grant "Authenticated Users:(RX)"
Configurazione della GPO di Folder Redirection
- Apri Group Policy Management e crea una nuova GPO (es. FR‑UserFolders), collegandola all’OU degli utenti.
- Modifica la GPO: User Configuration ▸ Policies ▸ Windows Settings ▸ Folder Redirection.
- Configura le seguenti cartelle:
- Desktop
- Documents (oppure Personal)
- Pictures
- Downloads
\\FILE01\UserFolders$\%USERNAME%. - Opzioni consigliate:
- Move the contents of <folder> to the new location (migra i file esistenti).
- Grant the user exclusive rights (consente privacy e sicurezza per la sottocartella).
- Also apply redirection policy to Windows 2000, XP, and Server 2003: non necessario in ambienti moderni.
- Applica la GPO, quindi imposta un aggiornamento criteri sui client:
gpupdate /forceo un semplice logoff/logon.
Applicazione della GPO che limita C:
- Crea una seconda GPO (es. Lock‑C‑Drive), collegata all’OU degli utenti (o a un gruppo Security Filtering mirato).
- Configura: User Configuration ▸ Administrative Templates ▸ Windows Components ▸ File Explorer.
- Imposta:
- Prevent access to drives from My Computer: Enabled → Restrict C drive only.
- (Facoltativo) Hide these specified drives in My Computer: Enabled → Restrict C drive only.
Verifica passo‑passo
- Accedi con un utente pilota al server (o a una VM RDS/AVD) e controlla che Desktop, Documents, Pictures, Downloads puntino a
\\FILE01\UserFolders$<utente>\. - Crea e modifica file di prova in ciascuna cartella.
- Esegui
gpresult /h %TEMP%\gp.htmle apri il report per confermare che entrambe le GPO siano applicate. - Apri Esplora file: C: risulterà nascosto/limitato mentre le cartelle profilo restano operative.
Interpretazione delle chiavi di registro delle due GPO
Per completezza, le due impostazioni lavorano su chiavi per‑utente (HKCU):
- Hide these specified drives →
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives - Prevent access to drives →
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive
Entrambe usano una bitmask: A=1, B=2, C=4, D=8, E=16, e così via. Se scegli solo C:, il valore è 4. Queste voci spiegano perché “bloccare C:” impatta anche le cartelle del profilo quando sono locali.
Alternative pratiche e quando preferirle
Nascondere C: senza impedirne l’accesso
Se l’obiettivo è solo evitare che l’utente “giri” nel disco, Hide these specified drives è sufficiente. È una mitigazione soft: non ferma l’utente esperto, ma riduce gli errori accidentali. Vantaggio: C:\Users continua a funzionare senza reindirizzamenti.
Rafforzare le ACL NTFS
Nella maggior parte dei casi gli utenti standard non possono scrivere nelle cartelle di sistema. Se però ci sono eredità o permessi errati, ripristinare i default su C:\Windows, C:\Program Files e C:\Program Files (x86) è spesso sufficiente per mettere in sicurezza il sistema, lasciando intatto C:\Users. Utile in ambienti con scarsa connettività verso il file server.
FSLogix o User Profile Disks
In RDS/AVD, usare un Profile Container VHDX montato da share (FSLogix) sposta l’intero profilo utente fuori da C:. Pro: performance e semplicità; Contro: va dimensionato correttamente lo storage e gestite le dipendenze (latency, IOPS, high availability). Con FSLogix si combinano bene anche i Cloud Cache per resilienza multipath.
AppLocker o SRP per controllo applicazioni
Bloccare l’esecuzione da percorsi non autorizzati (%LOCALAPPDATA%, %TEMP%, Desktop) riduce tantissimo il rischio pur senza “murare” C:. È ideale quando il problema principale è la sicurezza (esecuzione di binari non firmati) più che la navigazione sul disco.
Ottimizzazioni per ambienti Azure
- File server: su VM in Azure, usa dischi Premium/Ultra per IOPS stabili; considera Azure Files o Azure NetApp Files per scenari multi‑session.
- Rete: limita la latenza (stesso region pairing tra session host e storage). Valuta Private Endpoint e Access‑Based Enumeration sulle share.
- Backup: snapshot coerenti e protezione dal ransomware con immutable backups dove possibile.
- Offline Files: in AVD/RDS spesso è meglio disabilitarli o abilitarli in modo selettivo solo su Documenti.
Configurazione intelligente di Offline Files
I Client‑Side Caching (CSC) possono accelerare l’accesso in WAN, ma generano conflitti se abilitati su cartelle con molte piccole modifiche (es. Desktop con grandi volumi). Indicazioni pratiche:
- Abilita Offline Files solo per Documenti in filiali con WAN lenta.
- Evita Offline Files per Desktop se contiene tanti file “volatili”.
- Controlla le GPO di Computer Configuration ▸ Administrative Templates ▸ Network ▸ Offline Files (abilitazione, dimensione cache, esclusioni estensioni).
Sicurezza aggiuntiva
- Combina Folder Redirection con ACL NTFS appropriate sulla share, privilegi minimi e auditing (Object Access).
- Valuta AppLocker (Publisher/Path/Hash) per consentire solo software firmato o posizionato in percorsi approvati.
- Usa Gruppi di sicurezza per filtrare l’applicazione della GPO “Lock‑C‑Drive” e ridurre impatti non desiderati.
Diagnostica dell’errore “This operation has been cancelled…”
Se dopo l’applicazione della GPO gli utenti non aprono più Desktop/Documenti (o app non accedono a C:\Users):
- Verifica il reindirizzamento è effettivo: path delle cartelle puntano alla share?
- Esegui
gpresult /he controlla che FR‑UserFolders sia applicata prima di Lock‑C‑Drive. - Controlla nel registro utente:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive(C: = 4) eNoDrives. Temporaneamente imposta la policy su “Not Configured” per confermare la diagnosi. - Controlla i log: Event Viewer ▸ Applications and Services Logs ▸ Microsoft ▸ Windows ▸ GroupPolicy ▸ Operational e (se presente) Folder Redirection.
- Testa un nuovo profilo “pulito” per escludere residui di cache/registro.
Esempi operativi e script di supporto
Verifica rapida delle cartelle note
# Mostra dove puntano le cartelle note più comuni
[Environment]::GetFolderPath('Desktop')
[Environment]::GetFolderPath('MyDocuments')
[Environment]::GetFolderPath('MyPictures')
Downloads non è uno SpecialFolder standard, ma spesso coincide con:
"$env:USERPROFILE\Downloads"
Checklist per un rollout sicuro
- Pilota: applica FR a un gruppo di test e verifica migrazione dati.
- Lock: attiva la GPO “Prevent access…” solo per il gruppo pilota.
- Conferma: nessun errore all’apertura di Desktop/Documenti/Immagini/Download.
- Backup: verifica job e ripristino puntuale di file dalla share.
- Scalabilità: monitora IOPS/latency della share; aumenta risorse se necessario.
Domande frequenti
Posso bloccare C: e lasciare AppData locale?
Sì. Folder Redirection non tocca AppData a meno che tu non lo configuri. In scenari moderni è preferibile non reindirizzare AppData (riduce complessità e conflitti), a meno di requisiti specifici RDS.
Se nascondo solo C:, è abbastanza?
Per prevenire errori accidentali sì, per sicurezza no. Nascondere l’unità è poco più che un accorgimento visivo; un utente può digitare un percorso e accedere comunque. Per ambienti regolati, meglio FR + Lock o NTFS + AppLocker.
Folder Redirection influisce sulle performance?
Dipende da latenza e IOPS del file server e dalla mole di file su Desktop/Documenti. In WAN, abilita con criterio Offline Files o adotta profili VHDX (FSLogix) per migliorare l’esperienza.
È obbligatorio usare due GPO separate?
No, ma è una buona pratica: separare FR da Lock semplifica roll‑back, auditing e riduce rischio di bloccare utenti prima che il reindirizzamento sia attivo.
Procedura rapida riassunta
- Crea una share con permessi Read/Write per gli utenti:
\\FILE01\UserFolders$. - Apri GPMC → User Configuration ▸ Policies ▸ Windows Settings ▸ Folder Redirection:
- Reindirizza Desktop, Documents, Pictures, Downloads.
- Opzioni: Move the contents of <folder> to the new location e Grant the user exclusive rights.
- Collega la GPO all’OU che contiene gli utenti.
- Forza l’aggiornamento:
gpupdate /forceo re‑logon. - In una GPO separata (o nella stessa, ma dopo il redirect) applica Prevent access to drives from My Computer → seleziona C: only.
Buone pratiche aggiuntive
- Test su un account pilota prima di estendere la GPO a tutti.
- Backup: assicurati che la share di destinazione sia protetta da backup regolare con verifica di restore.
- Performance: se la WAN è lenta, abilita Offline Files solo per Documenti; evita per Desktop con molti file.
- Sicurezza: unisci Folder Redirection a NTFS ACL e, se appropriato, ad AppLocker per impedire esecuzioni non autorizzate.
- Monitoring: traccia applicazione GPO, latenza SMB e spazio su disco, generando alert preventivi.
Modello di permessi NTFS per singola home
| Percorso | Account | Permesso | Note |
|---|---|---|---|
| D:\UserFolders | SYSTEM, Domain Admins | Full Control | Propagazione a sottocartelle |
| D:\UserFolders | Authenticated Users | List folder / Read | Solo sulla cartella radice |
| D:\UserFolders\%USERNAME% | Utente proprietario | Full Control | Creato automaticamente da FR |
Rafforzamento selettivo di C: con ACL
Se preferisci non usare FR, garantisci che gli utenti standard non possano scrivere o eseguire in:
C:\WindowsC:\Program FilesC:\Program Files (x86)C:\(radice) – nessuna creazione file non amministrativa
Inoltre, usa AppLocker per impedire esecuzioni da %TEMP%, %USERPROFILE%\Downloads, %USERPROFILE%\Desktop, consentendo solo binari firmati o posizionati in cartelle di sistema.
Checklist finale di conformità
- GPO di Folder Redirection attiva e verificata su utenti pilota.
- Cartelle chiave reindirizzate a
\\FileSrv\UserFolders$\%username%con diritti esclusivi. - GPO “Prevent access to drives…” attivata dopo FR e filtrata correttamente.
- Backup e restore testati sulla share.
- Monitoring su spazio, IOPS e latenza del file server.
- Documentazione interna aggiornata (diagrammi, GPO, gruppi, target).
Conclusioni
Bloccare C: in modo indiscriminato su Windows Server 2022 è semplice, ma farlo senza intaccare la produttività richiede qualche attenzione. La combinazione Folder Redirection + limitazione dell’unità è la via maestra: separa i dati utente dal disco di sistema, rende lineare il backup e consente un controllo più fine della sicurezza. Se il tuo contesto lo consente, puoi scegliere alternative più leggere (nascondere C:) o più strutturate (FSLogix, AppLocker). Con le indicazioni di questa guida, eviterai l’errore “This operation has been cancelled…” e manterrai un’esperienza coerente per tutti gli utenti.