我想知道在 Windows 7 系统中创建受限用户帐户的最佳做法是什么,就像 Linux 中的用户环境一样,其中有超级用户和其他普通用户。最终,我希望普通 Windows 用户被限制接触 Windows 安装所在分区上的任何内容(这包括 WIN 文件夹、Program Files 等),只能锁定在主文件夹之类的东西中,并且对于所有更高级的操作(安装、配置等)都需要权限。
答案1
为了进一步阐述我的评论,你的问题让我有些困惑,因为我假设你所问的是 Windows 7 的事实。
在 Windows 7 中,默认情况下管理员帐户(相当于 Linux 上的 root)不可直接使用。因此,通常您有一个具有管理权限的帐户(相当于处于/etc/sudoers
)。该用户可以执行任务作为管理员通过确认联合航空迅速的。
普通用户将无法执行任何管理操作。此外,您可以控制每个用户帐户或用户组对文件系统的访问权限,就像在 Linux 上一样。
关于您希望使用密码来保护特权提升。据我所知,这是不可能的(根据设计)。您可能知道,在 Linux 系统上,您的特权提升授权会被缓存一段时间。因此,如果您使用sudo
并授权自己,如果您sudo
在几秒钟后再次使用,则无需再次输入密码。
在 Windows 上,情况并非如此。您必须每次都确认该提示。
所以这已经很烦人了(也是设计使然)。我猜 Windows 架构师决定不再要求输入密码。您唯一需要提供凭据的时间是登录帐户时。Windows 架构师认为这就足够了。
当然,有时可能会再次要求您提供凭据。例如当您通过网络访问资源或登录某些服务(SharePoint、SQL Server 等)时,但这是可以预料的。
sudo
另外,请注意,Windows 中有一个命令行实用程序,相当于runas
这可能会引起你的兴趣(我个人几乎从不使用它)。
答案2
保留其默认配置,在 Windows 7 上运行具有 USER 权限的帐户基本上会产生您所描述的效果,gmunk。
用户访问控制 (UAC) 和用户帐户的默认权限设置帐户权限大致与您描述的完全一致。无需特殊配置。
更新:
这取决于情况。一如既往。
根据您使用计算机所进行的操作,您的安全要求将会改变。
- 这是家用电脑吗?它会是家里唯一的电脑吗?添加一些防病毒软件就没问题了。
- 这是公司工作站吗?如果企业网络安全得当,网络内各个工作站的安全性就没那么重要了,通常会稍微降低一点,以便与网络的其余部分进行通信。
- 这是一个不会移动并且永远连接到同一个网络的桌面吗?可能介于公司设置和单台计算机家庭设置之间。您将希望能够在计算机之间共享打印机,甚至文件和媒体,因此您需要确保它们相互信任,但不接受来自不受信任的计算机的通信,以及更强大的防病毒软件。
- 这是一台可以旅行的笔记本电脑吗?您需要非常非常强大的安全性。在计算机上安装本地防火墙(Windows 防火墙也可以,但您可能更喜欢其他防火墙)和良好的防病毒软件。
- 用户是否需要能够安装东西?可能不是根据您的问题。