我最近创建了一个新的管理员帐户,并将我原来的管理员帐户转换为标准用户帐户,以实现“最佳实践安全性”,我注意到作为标准用户,我可以访问管理员用户文件夹,据我所知,标准用户不应该能够执行此操作。
检查“用户”文件夹的属性和“共享”选项卡的“高级共享”部分时,“Everyone”组对用户文件夹具有完全控制权。该文件夹还显示为“状态:共享”。我没有在用户文件夹上启动这些权限,所以我唯一能想到的是,当我创建家庭组时,家庭组启动了共享。我只是为了测试目的而创建了家庭组,之后就删除了它。我读过关于 Win 7 的类似报告,在创建家庭组或公开共享时会自动共享整个用户文件夹,即使在删除家庭组后,用户文件夹仍然保持共享状态! https://scottiestech.info/2009/09/25/windows-7-file-sharing-fixing-the-entire-user-directory-shared-problem/
Windows 10 是否可能继承了相同的行为?目前,我只是在猜测发生了什么,但 Homegroup 问题似乎确实存在。
基本上,我想将这一切恢复正常或默认设置,但我担心这也是一个安全问题。我不知道这里到底发生了什么,我不确定要使用什么权限并开始更改而不会破坏任何东西或使情况变得更糟。有人能帮助我吗?
答案1
我目前没有 Windows 10 系统可以检查,但我猜取消共享文件夹可能就足够了。
还要注意,共享权限不会覆盖文件系统权限。因此,如果用户目录的共享权限为Everyone: Full
,但文件系统权限配置了更严格的权限,例如Everyone: Read, Administrators: Full, Creator/Owner: Full
,则两者之间更严格的权限有效。因此,在这种情况下,Everyone 组/安全主体被限制为只读。此外,如果用户下的子目录没有为 Everyone 组/安全主体配置任何权限,则“Everyone”可以看到该子目录,但无法打开或读取它。
顺便提一下,我不确定您读到的最佳实践是什么,但除非我错过了 Windows 10 中的重大变化,否则内置管理员帐户(RID/SID 以 -500 结尾的帐户)不能更改为“标准用户”帐户。它将始终具有管理权限。
我所熟悉的最佳做法是禁用内置帐户(尽管如果您在紧急情况下需要它,它仍然可以在安全模式下使用),重命名它,创建一个名为“管理员”的新标准用户帐户,该帐户也被禁用(只是为了摆脱黑客),然后以不同的名称创建一个管理员帐户供您自己使用。
更新:
根据评论中的对话,我意识到您指的是安装期间创建的默认用户。不是内置管理员,因为我误解了您所说的内容。该用户可以转换为标准用户,正如您所说。对于造成的混淆,我深表歉意。
至于默认权限,我测试了 Windows 10 虚拟机(周年更新 1607),发现用户目录默认为Everyone: Read/Execute/List
。但是,用户目录下的所有配置文件目录(Users\someone)都设置为不从用户继承权限,并明确设置为SYSTEM: Full; Administrators: Full; Profile Owner: Full
。因此,除了管理员和拥有该配置文件的用户之外,没有人有权读取、列出或更改其他用户的配置文件目录下的任何内容。
因此,要将您的权限重置为默认值:
取消共享用户目录
将“用户”目录(安全选项卡)的文件系统权限重置为
Everyone: Read/List/Execute; SYSTEM: Full; Administrators: Full; Users: Read/List/Execute
将用户目录下的任何用户配置文件目录更改为不从父目录继承权限(安全选项卡 -> 高级),然后明确将权限设置为
SYSTEM: Full; Administrators: Full; <user name>: Full
这些步骤当然可以使用 PowerShell 命令等来完成,但本着保持您的经验水平并帮助您掌握诀窍的精神,我将坚持使用 GUI 方法。以下是一些屏幕截图以提供帮助。
用户目录:
个人用户配置文件目录权限(请注意,权限不会被继承)