限制Windows管理员访问权限

Question 1

我同意使用现有的文件加密工具甚至 EFS 听起来可能是更好的选择。话虽如此，您可以授予非管理员帐户对该文件夹的完全权限，并将拒绝分配给内置\管理员组。这应该只会欺骗那些新手管理员。他们在尝试打开文件夹时会收到拒绝访问的消息。但是，他们只需打开安全权限并从 DACL 中删除拒绝 ACE（前提是他们知道这一点）即可获得访问权限。

Answer

我同意使用现有的文件加密工具甚至 EFS 听起来可能是更好的选择。话虽如此，您可以授予非管理员帐户对该文件夹的完全权限，并将拒绝分配给内置\管理员组。这应该只会欺骗那些新手管理员。他们在尝试打开文件夹时会收到拒绝访问的消息。但是，他们只需打开安全权限并从 DACL 中删除拒绝 ACE（前提是他们知道这一点）即可获得访问权限。

Question 2

经过一番思考后，我确信创建一个加密分区是可行的方法 -TrueCrypt是一款和其他工具一样优秀的工具。它可以在启动时安装（仅当正确的人员登录时），因此该过程对目标用户是透明的 - 并且管理员除非拥有密码，否则无法访问文件。唯一的问题是，拥有加密分区的人负责维护密钥的安全副本 - 丢失它，数据将无法恢复。这种方法的好处是管理员可以无缝备份文件 - 仅仅因为您无法读取文件并不意味着您无法备份它...您可能会发现当分区很大时备份很慢（对于初学者来说，它看起来像一个巨大的文件，因此差异备份用处不大）。

Answer

经过一番思考后，我确信创建一个加密分区是可行的方法 -TrueCrypt是一款和其他工具一样优秀的工具。它可以在启动时安装（仅当正确的人员登录时），因此该过程对目标用户是透明的 - 并且管理员除非拥有密码，否则无法访问文件。唯一的问题是，拥有加密分区的人负责维护密钥的安全副本 - 丢失它，数据将无法恢复。这种方法的好处是管理员可以无缝备份文件 - 仅仅因为您无法读取文件并不意味着您无法备份它...您可能会发现当分区很大时备份很慢（对于初学者来说，它看起来像一个巨大的文件，因此差异备份用处不大）。

限制Windows管理员访问权限

答案1

答案2

相关内容