У меня есть две административные учетные записи: A и B, и стандартная учетная запись C.
Я хочу, чтобы пользователи A и C имели разрешение на доступ к папке (может быть любой папкой), но не B.
Входя в систему с учетной записи A, я дал разрешение учетной записи C на доступ к папке, но не на учетную запись B.
Но поскольку B является администратором, он может изменять настройки и иметь доступ к этой папке.
Кто-нибудь знает, как с этим бороться?
Администратор может получить доступ (почти) ко всем файлам в системе, изменив разрешения. Так устроена система, поэтому не администратор не может предотвратить доступ администратора к файлам, используя только разрешения файловой системы.
Одним из возможных решений будет использование шифрования для защиты содержимого файлов, которые вы не хотите, чтобы пользователь C мог видеть. Как только файлы будут зашифрованы, пользователь C сможет получить доступ к файлам, но не сможет их использовать, поскольку они зашифрованы.
Чтобы разрешить другим пользователям читать зашифрованный файл, вы можете поделиться ключом только с этими людьми.
Поскольку я долгое время лично не использовал никакого программного обеспечения для шифрования, я не могу порекомендовать утилиту для этого. В Windows есть функция шифрования файлов, но я считаю, что администратор может восстановить ключи, которые он использует.
Простой подход
В NTFS вы можете манипулировать разрешениями, как вы хотите.
Для этого перейдите в папку « Properties , вкладку « Security » и нажмите « Edit . Вы поймете следующие шаги.
Если другой администратор попытается получить доступ к этой папке - он будет уведомлен о том, что у него нет разрешений, но он сможет изменить владельца этой папки.
Более правильный подход
Если вам нужен второй администратор для установки программ - он вам не нужен в группе "Администраторы".
Удалите второго администратора из группы "Администраторы" и используйте вместо него группу "Опытный пользователь". Члены группы "Опытный пользователь" могут устанавливать программы (у них есть доступ к программным файлам и т.д.), Но они не могут управлять системой, как администратор.
Сложный подход
Вы можете создать новую группу и управлять ее разрешениями в редакторе локальной политики безопасности (запустите -> secpol.msc). Существуют все существующие разрешения Windows, и вы можете устанавливать их по своему усмотрению. Вы даже можете дать разрешение "Отключение" только для одного пользователя.
Ред. Это не будет работать в Windows 7.
Очень безопасный подход
Используйте шифрование NTFS, как предложил Crippledsmurf в другом ответе. Однако, если ваш диск выйдет из строя, возможно, будет невозможно восстановить данные с него, потому что нет никаких инструментов восстановления данных (известных мне), которые могли бы восстановить зашифрованные файлы с поврежденного диска.
Сетевой серверный подход
Вы можете переместить все эти папки на другой компьютер, где оба администратора не имеют прав администратора, и создать для них отдельные учетные записи. Затем поделитесь этими папками, как вы хотите.
Вам может потребоваться как минимум Windows 7 Professional для манипулирования такими разрешениями.
