我们有一个Windows 7个人电脑的networking,作为一个域的一部分进行pipe理。 我们想要的是域pipe理员无法查看PC的本地驱动器(C :),除非他身体上在PC上。 换句话说,没有远程桌面,也没有使用UNC的能力。 换句话说,域pipe理员不应该被允许在Windows资源pipe理器中放置\\user_pc\c$并查看该计算机上的所有文件, 除非他身体上存在于PC本身。
编辑 :澄清已经出现的一些问题/评论。 是的,我是一个pipe理员— 但是一个完整的Windows新手 。 是的,为了这个和我的类似问题,假设我正在为一个偏执的人工作是公平的。
我理解关于这个问题的论点是“社会问题还是技术问题”,“你应该能够信任你的pipe理员”等等。但是,这就是我发现自己的情况。 我基本上是Windows系统pipe理的新手,但是我的任务是创build一个由公司所有者定义确保安全的环境,而且这个定义显然与大多数人所期望的完全不同。
总之,我明白这是一个不寻常的要求。 但是我希望ServerFault社区有足够的专业知识来指导我正确的方向。
这个post,来自Technet论坛的Yan Li解释起来很简单:
只有pipe理员组可以访问pipe理共享,请转到pipe理员组并删除所需的用户和组,您不需要有权访问pipe理共享。
对于多台客户端PC,您可以在其中一台机器上禁用它们,如下所述,导出registry项,然后在GPO中导入它。
禁用默认共享:
Windows在每个安装上打开隐藏的共享以供系统帐户使用。 (提示:您可以通过从命令提示符键入NET SHARE来查看计算机上的所有共享文件夹。)您可以通过两种方式禁用默认pipe理共享。
一种是停止或禁用服务器服务,这将消除在您的计算机上共享文件夹的能力。 (但是,您仍然可以访问其他计算机上的共享文件夹。)当您禁用服务器服务时(通过控制面板>pipe理工具>服务),请确保单击手动或禁用,否则服务将在下次计算机启动重新启动。
另一种方法是通过编辑HKeyLocal Machine \ SYSTEM \ CurrentControlSet \ Services \ LanManServer \ Parameters通过registry。 对于服务器,使用REG_DWORD值为0编辑AutoShareServer。对于工作站,编辑AutoShareWks。 请记住,禁用这些共享会提供额外的安全措施,但可能会导致应用程序出现问题。 在生产环境中禁用这些更改之前,请在实验室中testing您的更改。 默认的隐藏份额是:
分享:
C $ D $ E $
path和function:
每个分区的根目录,只有Administrators或Backup Operators组的成员可以连接到这些共享文件夹。 对于Windows 2000 Server计算机,Server Operators组的成员也可以连接到这些共享文件夹。
不过,这样做不是很好的做法。 您正在阻止访问应该可供域pipe理员访问的内容。 这就像改变你的公寓的锁,所以你的房东不能进入。
是否有关于谁的书面公司政策,以及为什么要在联网的计算机上访问特定的信息,以及为什么这个特定的信息首先需要在联网的计算机上? 如果这只是针对这个办公室的数据,那么为什么不预算额外的笔记本电脑或使用只能在实际办公室访问的旧的“离线”计算机? 保险箱内的笔记本电脑不容易被窃取或访问。 火灾,洪水,龙卷风,中国的黑客,印度等等,然后只在必要的时候连接。
使用TrueCrypt等第三方encryption工具encryption卷。
这是阻止pipe理员访问不应该拥有的数据的唯一方法。 这对于一个诚实的pipe理员来说已经足够了,但是对于恶意pipe理员来说还是不够的,恶意pipe理员仍然可以安装密钥logging器或者使用远程访问工具来查看在解锁的卷时的卷内容。
对于那些想知道为什么要从数据中lockingpipe理员的人来说,pipe理员默认情况下可以访问任何types的机密数据,无论是财务数据,员工个人信息,研究数据等等。他们不应该。
部分ITpipe理员的工作应该是确保没有单个pipe理员帐户受到入侵将导致入侵者完全访问所有公司数据。