Как я могу ограничить доступ других пользователей (администраторов) к моему профилю?

Question

В нашем клубе есть компьютер с Windows 7 Professional, которым может пользоваться каждый член клуба. И у каждого есть свой отдельный аккаунт.

Эти учетные записи должны иметь привилегии администратора, так как я хочу, чтобы каждый мог устанавливать любое программное обеспечение и использовать любую функцию, которую он хочет. Тем не менее, есть одна вещь, которую им нельзя разрешать - это просматривать профили других пользователей. Теперь, когда кто-нибудь переходит к «c:\Users(Any User Name)», появляется небольшое сообщение о том, что эта папка защищена и действительно ли вы хотите заглянуть внутрь. Просто нажмите «ОК», чтобы получить доступ к любому профилю.

Я попытался отключить принятие владения для группы «Администраторы» в групповой политике, но это не имело никакого эффекта. Как я могу эффективно запретить администраторам просматривать профили и документы друг друга?

Answer 1

Вы не можете, это так просто.

Answer 2

Попробуйте изменить свою точку зрения: измените каждую учетную запись у обычных пользователей, затем дайте им разрешение на установку программного обеспечения, тем самым предоставив вам свои супер-администраторские полномочия!

Answer 3

Вероятно, лучшее решение для каждого пользователя - зашифровать свои файлы с помощью EFS. Несмотря на то, что вы не можете запретить другим администраторам перечислять содержимое каждой папки, EFS зашифрует файлы, и даже администратор не сможет их расшифровать, если не будет предоставлена копия личного ключа или резервный сертификат.

Поскольку группа «Администратор» встроена, вы не можете изменять разрешения для нее.

Answer 4

Если вы хотите защитить файлы от других администраторов или ограничить их специальной группой, вы хотите использовать ACL. Но все администраторы могут стать владельцами файлов. В доменной или локальной политике безопасности измените права доступа к файлам для определенной группы и их участников.

Второй метод более плавный, но опасный. Если вы используете EFS, никто не сможет украсть, просмотреть, скопировать или использовать ваши файлы. Но вам все равно нужно защитить свой сертификат efs и спрятать его в безопасном / личном месте.

Кроме того, если у учетной записи администратора есть разрешение агента восстановления EFS, он может расшифровать ваши файлы.

Answer 5

Вы можете изменить владельца своей папки только на свою (удалить всех остальных пользователей).

Но уловка только мешает другим администраторам, пока они не сохранят право собственности. Если они не знают, как сменить владельца, вы в безопасности.