Запрет записи в корень диска для пользователей через GPO

1. Создайте новый объект политики и подключите его к нужному вам OU (organisation unit)
2. В созданном вами объекте политики найдите конфигурация компьютера -> Политики-> Конфигурация Windows -> Параметры безопасности -> Файловая система
3. Добавьте объект C:\ и укажите требуемые права (Administrators, SYSTEM: Full Control; Users: Read).

через PS делаем команду: gpupdate.exe /force

и после перезагрузки пользователем ПК, он уже не сможет создать папку или файл в корень диска C:\