我想阻止标准用户和来宾在 Windows 7 中的 C: 分区上创建其他文件夹和文件。因此,删除以下权限是否安全已认证用户在 Windows 7 中,C: 分区中的组?默认情况下启用此类权限。我想,提到的权限并非毫无道理,那么哪些功能或服务依赖于我想要删除的权限?
答案1
不。
您可以这样做,但您需要先编辑根目录下的所有子文件夹,编辑它们的权限,转到高级,然后取消选中从父级继承权限。在下一个对话框中选择复制,以复制权限。
如果不执行上述操作,您不仅会更改根文件夹的权限,还会更改所有后续文件夹的权限。由 Windows 创建的文件夹将已经设置这些权限,但由用户或安装程序在安装后创建的文件夹则不会。
请注意,有些程序依赖于写入根目录,可能会停止工作。因此,在将其作为永久解决方案之前,需要进行大量测试。
答案2
我之前的工作使用的是 Windows 8.1-10 SOE,跳过了 Windows 7 并且很早就开始使用 8.1 或更新版本,当我看到默认权限允许普通用户随意用 C 语言创建文件夹时,我感到震惊。
这是可能的,正如 Darin S 的论坛帖子所述这里。
首先从 C: 根目录中删除所有经过身份验证的用户的 ACL:
icacls.exe c:\ /remove:g "Authenticated Users"
然后恢复 C 根目录以下文件夹的下级继承权限-
cacls.exe c:\ /grant:r "Authenticated Users":(IO)(CI)(OI)(M)
在我自己的测试机器上运行良好。显然,在大规模部署之前要彻底测试。