允许管理员完全控制系统文件夹的风险有多大?我实际上需要的是编辑 System32 文件夹中的主机文件,以便允许管理员完全控制系统文件夹?
此消息表明这会降低系统安全性:
答案1
针对您的截图,管理员组拥有完全控制权是完全正常的
实际上,管理员是唯一被分配到“管理员”组的用户,他们通常是公司信任且薪水丰厚的人,以保证一切正常运转。
仅将受信任的人员(即系统管理员或一些受信任的开发人员)分配到此组是完全正常且安全的。
如果公司中的每个普通人都属于这一群体,那么就会导致大问题,如果是这种情况,我建议立即更改它,否则您的服务器/网络可能会因某些用户从错误的网站下载文件而感染恶意软件。
我建议你观看这些视频,以便更好地理解用户、群组和权限
在 Windows Server 2012 上的 Active Directory 中创建和管理组 https://www.youtube.com/watch?v=C3UV3RTW7HI
Windows Server 2012 中的文件和共享权限简介 https://www.youtube.com/watch?v=fJHFmt6F0Rc
在 Windows Server 2012 上的 Active Directory 中创建和管理用户帐户 https://www.youtube.com/watch?v=DrNwJraGfjQ
答案2
要解决您关于hosts文件的具体问题...您需要做的就是运行提升权限的记事本,然后使用文件->打开来编辑它。您不能从资源管理器窗口双击它。特别是该文件已被锁定。
除此之外,\Windows和\Program Files目录的默认权限实际上非常具体,并且应用了一些 ACL 技巧,如果您更改权限,则很难恢复。您可以在高级设置中看到这一点;许多特殊权限范围为不同的级别。 您不应该更改操作系统目录或 C: 驱动器根目录的权限。 这样做会导致一些严重的问题,您只能通过在某处放置完全控制来解决这些问题,这实际上会使安全状况比一开始更糟糕。
如果 UAC 处于开启状态(如果没有特殊原因,您真的不应该将其关闭),Windows 会为\Windows和\Program Files目录提供额外的保护,这样即使管理员在没有明确提升其凭据的情况下也无法在那里写入文件。
如果您发现系统的安全性过于宽松,则应该解决用户的访问权限,而不是尝试修改目录权限。