我有一台 Windows 7 计算机,其中有两个用户。其中一个是管理员,另一个是受限用户。
受限用户应有权访问互联网,但不应有权访问 LAN 中任何计算机的任何网络共享。最好他甚至看不到 LAN 中有任何计算机和工作组。
管理员用户应该能够正常访问互联网和局域网。
我怎样才能实现这个目标?
编辑:
我无法控制局域网内的其他计算机。
您认为在这台计算机上保留家庭组就足够了吗?
答案1
可能还有更好的解决方案。但这里是其中一种:
- 不要授予该用户访问你的共享的权限,甚至不要明确拒绝他们
- 为该用户禁用计算机浏览器服务。一种非常原始的方法是将其设置为禁用,由于您需要以管理员身份启用它,因此您自己可以启用它,而您的用户不能。另一种方法是使用登录/注销脚本来执行此操作。
答案2
这个答案比你想象的要大得多,充满了许多变量。
首先,您需要考虑“用户”的知识水平。如果一个高级用户(或黑客)可以坐在电脑前……那么他/她几乎无所不能。精通技术的用户可能知道如何直接访问共享,但当出现基本的“拒绝访问”消息时,他们可能无法做更多的事情。除非有快捷方式,否则普通用户不会知道如何访问网络共享。
您所说的“网络共享”是什么意思?您指的是单独的 Windows Server 上的实际“Windows 网络共享”吗?如果是这样,只需根据需要设置权限以允许/限制用户。一般来说,如果用户没有网络共享的权限,他就无法访问它们。浏览 \some-server\share 将导致友好的登录提示,要求输入用户名/密码(如果他未登录到域)或只是“访问被拒绝”消息(如果他登录到域并且没有权限)。可以向管理员分配权限,以给予他所需的一切。至于“隐藏它”……这又回到了用户的技能水平。您无法按用户过滤网络连接,只能按 IP 地址、端口或其他“网络”属性过滤。一旦建立了网络连接,那么您就只能依靠应用层来维护安全性了。不幸的是,没有办法将组策略对象应用于每个用户的防火墙规则。
如果您想限制网络共享的“外观”,您可以使用组策略来做很多事情,这些组策略可以模糊或限制各种网络共享的视图......但这个讨论可能会很长,真的不应该轻易完成。
如果您谈论的是“家用级”设备(路由器?NAS???)上的网络共享,且该设备部分实现了 SMB 堆栈,那么您就只能听天由命了。如果它不要求输入用户/密码,您就无能为力了。
如果您在谈论其他事情...我们需要更多信息。