У меня есть две административные учетные записи: A и B, и стандартная учетная запись C.

Я хочу, чтобы пользователи A и C имели разрешение на доступ к папке (может быть любой папкой), но не B.

Входя в систему с учетной записи A, я дал разрешение учетной записи C на доступ к папке, но не на учетную запись B.

Но поскольку B является администратором, он может изменять настройки и иметь доступ к этой папке.

Кто-нибудь знает, как с этим бороться?

2 ответа2

1

Администратор может получить доступ (почти) ко всем файлам в системе, изменив разрешения. Так устроена система, поэтому не администратор не может предотвратить доступ администратора к файлам, используя только разрешения файловой системы.

Одним из возможных решений будет использование шифрования для защиты содержимого файлов, которые вы не хотите, чтобы пользователь C мог видеть. Как только файлы будут зашифрованы, пользователь C сможет получить доступ к файлам, но не сможет их использовать, поскольку они зашифрованы.

Чтобы разрешить другим пользователям читать зашифрованный файл, вы можете поделиться ключом только с этими людьми.

Поскольку я долгое время лично не использовал никакого программного обеспечения для шифрования, я не могу порекомендовать утилиту для этого. В Windows есть функция шифрования файлов, но я считаю, что администратор может восстановить ключи, которые он использует.

0

Простой подход

В NTFS вы можете манипулировать разрешениями, как вы хотите.

  1. Удалить все разрешения из этой папки.
  2. Добавить разрешения только для конкретного аккаунта.

Для этого перейдите в папку « Properties , вкладку « Security » и нажмите « Edit . Вы поймете следующие шаги.

Если другой администратор попытается получить доступ к этой папке - он будет уведомлен о том, что у него нет разрешений, но он сможет изменить владельца этой папки.

Более правильный подход

Если вам нужен второй администратор для установки программ - он вам не нужен в группе "Администраторы".

Удалите второго администратора из группы "Администраторы" и используйте вместо него группу "Опытный пользователь". Члены группы "Опытный пользователь" могут устанавливать программы (у них есть доступ к программным файлам и т.д.), Но они не могут управлять системой, как администратор.

Сложный подход

Вы можете создать новую группу и управлять ее разрешениями в редакторе локальной политики безопасности (запустите -> secpol.msc). Существуют все существующие разрешения Windows, и вы можете устанавливать их по своему усмотрению. Вы даже можете дать разрешение "Отключение" только для одного пользователя.

Ред. Это не будет работать в Windows 7.

Очень безопасный подход

Используйте шифрование NTFS, как предложил Crippledsmurf в другом ответе. Однако, если ваш диск выйдет из строя, возможно, будет невозможно восстановить данные с него, потому что нет никаких инструментов восстановления данных (известных мне), которые могли бы восстановить зашифрованные файлы с поврежденного диска.

Сетевой серверный подход

Вы можете переместить все эти папки на другой компьютер, где оба администратора не имеют прав администратора, и создать для них отдельные учетные записи. Затем поделитесь этими папками, как вы хотите.


Вам может потребоваться как минимум Windows 7 Professional для манипулирования такими разрешениями.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .