针对你这种游戏专用机的场景——既要让用户正常使用Steam、Battle.net等平台玩已部署的游戏，又要阻止他们自行安装新游戏占满驱动器，我整理了几个基于Windows原生工具的实操方案，不用额外第三方软件：

方案1：通过NTFS权限锁死游戏平台目录与库文件夹 #

这是最直接的方式，核心是剥夺普通用户对游戏安装相关目录的写入权限：

• 找到Steam/Battle.net的主安装目录（比如C:\Program Files (x86)\Steam），右键→属性→安全选项卡
• 选中「Users」用户组，点击「编辑」，将「写入」「修改」「完全控制」这几项权限设置为拒绝
• 勾选「将所有子对象权限条目替换为此对象的可继承权限条目」，确保所有子目录和文件都应用这个权限
• 对预先创建好的游戏库文件夹（比如D:\GameLibrary）做同样的权限配置：只给Users组保留「读取和执行」「列出文件夹内容」「读取」权限，拒绝写入

这样用户打开游戏平台后，点击安装新游戏时会因为没有写入权限直接失败，但已经安装好的游戏完全能正常运行（只需要读取权限）。

方案2：用AppLocker精准限制安装相关进程 #

如果需要更精细化的控制（比如允许平台自身更新，但禁止安装新游戏），可以用Windows的AppLocker：

1. 先确保「Application Identity」服务处于启动状态（按Win+R输入services.msc找到该服务，设置为自动启动）
2. 打开组策略编辑器（gpedit.msc），依次展开：计算机配置→Windows设置→安全设置→应用程序控制策略→AppLocker
3. 右键「AppLocker」→「创建默认规则」，这会保留管理员的全部权限，避免误锁自己
4. 创建可执行规则：允许Steam.exe、Battle.net.exe等主程序运行（选择「发布者」或「文件哈希」方式，推荐哈希更稳定）
5. 创建可执行规则：拒绝普通用户运行游戏平台的安装/下载进程，比如Steam的SteamService.exe、steamwebhelper.exe，Battle.net的Agent.exe等（可以通过任务管理器找到这些进程的路径）

这样用户能正常启动游戏平台、玩已有的游戏，但触发安装新游戏的后台进程会被直接拦截。

方案3：组策略限制软件安装行为兜底 #

如果上面的方案还不够，还可以用组策略的软件限制策略兜底：

• 打开组策略编辑器，展开：计算机配置→Windows设置→安全设置→软件限制策略
• 右键「软件限制策略」→「创建新策略」
• 在「其他规则」里新建「路径规则」，将游戏平台的默认安装路径（比如C:\Program Files (x86)\Steam\steamapps\downloading\*）设置为「不允许」，直接阻断下载中的游戏文件写入

注意事项 #

• 所有配置完成后，一定要用普通用户账号登录测试，确保不会影响游戏运行，同时确实无法安装新游戏
• 部分游戏平台会更新进程名称，定期检查任务管理器，及时补充新的限制规则
• 管理员账号要保留全部权限，方便你预先部署游戏和更新平台

内容的提问来源于stack exchange，提问作者Chutney