題 如何限制其他(管理員)用戶訪問我的個人資料?


我們俱樂部的每台俱樂部會員都可以使用配備Windows 7專業版的電腦。每個人都有自己獨立的帳戶。

這些帳戶必須擁有管理員權限,因為我希望每個人都能夠安裝任何軟件並使用他們想要的任何功能。但是,有一件事是他們不應該被允許做的 - 也就是說,查看另一個用戶的個人資料。現在,當有人進入'c:\ Users(任意用戶名)'時,會出現一個小提示,表明該文件夾是安全的,是否真的想要查看內部。只需點擊“確定”即可訪問任何個人資料。

我嘗試在組策略中禁用管理員組的所有權,但這沒有任何效果。如何有效禁止管理員查看彼此的個人資料和文檔?


4
2018-04-17 22:39


起源




答案:


你不能,就這麼簡單。


10
2018-04-17 22:49



關於那個的任何證明鏈接?在NTFS分區上沒有任何方法可以保護管理員的目錄嗎? - kojo
如何保護管理員的目錄?管理員組本身可以更改NTFS卷的權限,因此無論您將其更改為什麼,他們都可以將其更改回來。 - MDMarra
限制'管理員'組的權限也是不可能的?除了更改主NTFS分區的權限之外,沒有簡單的方法來創建可以執行任何操作的新組? - kojo
@kojo - 我想你正試圖以錯誤的方式解決這個問題。讓用戶使用必要的ACL保存網絡共享上的文件,甚至是隨身攜帶的閃存驅動器,這比嘗試中性管理員組更合適。 - MDMarra
這是真的。管理員組是一個內置組。權限無法更改。 - surfasb


嘗試改變你的觀點:更改普通用戶的每個帳戶,然後授予他們安裝軟件的權限,從而為自己保留超級管理員權限!


4
2018-04-17 22:48



想到這一點。雖然,在我看來,Windows 7中User和Administartor之間的區別不僅僅是軟件的安裝。它們應該能夠在UAC中成功提升並被遺留軟件作為管理員進行檢測。我只是覺得必須有一個更簡單的方法。 - kojo


可能最好的解決方案是每個用戶使用EFS加密他們的文件。雖然您無法阻止其他管理員列出每個文件夾的內容,但EFS會將文件加密到甚至管理員都無法解密的文件,除非已提供私鑰或備份證書的副本。

由於內置了Administrator組,因此無法更改其權限。


3
2018-03-08 13:10





如果要保護其他管理員的文件或將其限制為特定組,則需要使用ACL。但所有管理員都可以獲取文件的所有權。在域或本地安全策略中,將文件的所有權更改為特定組及其成員的權限。

第二種方法更順暢但危險。如果您使用EFS,任何人都無法竊取,查看,複製或使用您的文件。但您仍需要保護您的efs證書並將其隱藏在安全/個人位置。

另外,如果管理員帳戶具有EFS恢復代理權限,他/她可以解密您的文件。


0
2018-05-07 10:41





您可以將所有權更改為您的文件夾(刪除所有其他用戶)。

但技巧只會在他們保留所有權之前阻止其他管理員如果他們不知道如何更改所有權,那麼您就是安全的。


0
2018-05-07 10:56