我们有一台受限制的 Windows 7 计算机,它使用以下策略隐藏并阻止非管理员用户访问 C 盘:
然而,他们可以通过在 Explorer 中输入以下内容来规避这个问题:
\\localhost\C$
我如何才能禁用此路径但允许其他 UNC 路径。例如,允许它们访问不同计算机上的共享文件夹。例如。\\192.168.2.1\SharedTransfer
注意:仅启用组策略:从开始菜单中删除运行菜单将不起作用,因为这会阻止所有 UNC 路径。
更新
该用户称为“站点用户”,它不是该群组的直接或间接成员Administrator
,只是该群组的一个成员Users
。
访问了以下来源:
Control Panel\All Control Panel Items\Administrative Tools\Computer Management (Local) > System Tools > Local Users and Groups
Local Users and Groups
- Groups
- Administators
- Administrator
- Service User (our admin user)
- Users
- NT AUTHORITY\Auntenticated Users (S-1-5-11)
- NT AUTHORITY\INTERACTIVE (S-1-5-4)
- Site User (user account in question)
答案1
您可以禁用使用 GPP 创建的“管理共享”。
如果您导航到计算机配置/首选项/Windows 设置/网络共享,您会发现这个隐藏的宝石。右键单击网络共享节点以创建新的共享策略。
来源:http://sdmsoftware.com/group-policy-preferences/controlling-shares-on-windows-systems/
这能解决你的问题吗?
答案2
我想指出的是,组策略只是注册表项,依赖于被编程为读取和遵守它们的应用程序。如果您确实想阻止本地用户访问驱动C:
器,则应在其属性对话框中的安全选项卡上设置权限。这与其共享权限是分开的。例如,您可以为您的“站点用户”添加拒绝权限(在高级下)。(这是除了阻止他们访问共享之外的额外操作C$
,无论您如何解决该问题)
答案3
@Zoredache 我该如何检查并修复这些权限?您能否提交答案,我会尝试一下。
在本地计算机上打开Administrators
组,查看该组的成员。检查访问的人\\localhost\C$
是否不是任何组的成员(或者是该组成员的组的成员Administrators <= GroupA <= GroupB <= User
)。
一旦删除了管理员成员的用户、组或嵌套组(通过更改组策略设置或手动操作),用户将无法再访问共享\\localhost\C$
。
答案4
这是另一种解决方案,首先输入这两个命令:
net share c$ /del
net share admin$ /del
然后,您需要添加AutoShareWks
注册表项以防止 Windows 桌面在重新启动时重新创建管理共享:
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0
对于 Windows Server,您需要添加AutoShareServer
注册表项:
reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareServer/t REG_DWORD /d 0