组策略:阻止访问 \\localhost\C$

tag-icon tag-icon windows-7 security permissions group-policy
组策略:阻止访问 \\localhost\C$

我们有一台受限制的 Windows 7 计算机,它使用以下策略隐藏并阻止非管理员用户访问 C 盘:

然而,他们可以通过在 Explorer 中输入以下内容来规避这个问题: \\localhost\C$

我如何才能禁用此路径但允许其他 UNC 路径。例如,允许它们访问不同计算机上的共享文件夹。例如。\\192.168.2.1\SharedTransfer

注意:仅启用组策略:从开始菜单中删除运行菜单将不起作用,因为这会阻止所有 UNC 路径。

更新
该用户称为“站点用户”,它不是该群组的直接或间接成员Administrator,只是该群组的一个成员Users

访问了以下来源: Control Panel\All Control Panel Items\Administrative Tools\Computer Management (Local) > System Tools > Local Users and Groups

Local Users and Groups
 - Groups
      - Administators
             - Administrator
             - Service User (our admin user)
      - Users
             - NT AUTHORITY\Auntenticated Users (S-1-5-11)
             - NT AUTHORITY\INTERACTIVE (S-1-5-4)
             - Site User (user account in question)

答案1

您可以禁用使用 GPP 创建的“管理共享”。

如果您导航到计算机配置/首选项/Windows 设置/网络共享,您会发现这个隐藏的宝石。右键单击网络共享节点以创建新的共享策略。

来源:http://sdmsoftware.com/group-policy-preferences/controlling-shares-on-windows-systems/

这能解决你的问题吗?

答案2

我想指出的是,组策略只是注册表项,依赖于被编程为读取和遵守它们的应用程序。如果您确实想阻止本地用户访问驱动C:器,则应在其属性对话框中的安全选项卡上设置权限。这与其共享权限是分开的。例如,您可以为您的“站点用户”添加拒绝权限(在高级下)。(这是除了阻止他们访问共享之外的额外操作C$,无论您如何解决该问题)

答案3

@Zoredache 我该如何检查并修复这些权限?您能否提交答案,我会尝试一下。

在本地计算机上打开Administrators组,查看该组的成员。检查访问的人\\localhost\C$是否不是任何组的成员(或者是该组成员的组的成员Administrators <= GroupA <= GroupB <= User)。

一旦删除了管理员成员的用户、组或嵌套组(通过更改组策略设置或手动操作),用户将无法再访问共享\\localhost\C$

答案4

这是另一种解决方案,首先输入这两个命令:

net share c$ /del     
net share admin$ /del

然后,您需要添加AutoShareWks注册表项以防止 Windows 桌面在重新启动时重新创建管理共享:

reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0

对于 Windows Server,您需要添加AutoShareServer注册表项:

reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareServer/t REG_DWORD /d 0

相关内容