我想允许RDP用户访问他们的个人资料文件夹,但没有其他的服务器上。 理想情况下,我想要禁用读/列表文件/写在除了用户configuration文件位置的所有磁盘上。 这可能吗?
不,这是不可能的。 操作系统的股票权限在阻止用户写入其configuration文件之外的位置方面做得非常好。 至less有一个位置(例如“Public \ AppData”文件夹)是世界可写的,允许传统的应用程序软件运行(可能还有别的 – 这是首先也是唯一一个想到的)。
在操作系统卷上阻止用户读取 (包括“列出文件夹内容”)的能力最多是有问题的。 用户需要大量的读访问才能使操作系统正常工作。 对于非操作系统卷,它将取决于您的应用程序软件的需求。
虽然我知道你想限制访问,以防止泄露阅读操作系统访问不可能是严重的问题。 如果用户想要阅读操作系统文件,用户可以下载Windows Server 2012的评估版本,因此,读取服务器上的操作系统文件不会告诉他们任何已经从公共来源获得的信息。
(只要扮演魔鬼的拥护者,你也可以考虑用户对registry和内核对象pipe理器中的对象的权限,用户有很多权限来读取和列出这些内容,默认情况下,而且对于没有“破解”操作系统的问题,你可以做的很less。)