我们管理着一组 Windows 11 计算机,它们本质上是作为可自主预订的服务器运行,用于分析显微镜图像。这些计算机可通过物理方式或 Windows RDP(连接到我们的机构 VPN 后)访问,并且它们具有相同的硬件、两个本地 Windows 用户(“管理员”和“用户”)和 3 个物理驱动器(C、D 和 E)。通常,C 驱动器是安装操作系统和所有应用程序的地方。
为了安全和易于维护,我们至少要阻止本地 Windows 用户“用户”执行以下操作:
- 写入/删除存储在 C 盘(包括本地用户文件夹)上的文件
- 安装/卸载软件(在任何驱动器上)
- 安装和访问 USB 存储
- 修改 Windows 注册表
- 修改桌面上的图标
- 关闭或重新启动计算机
- 应用任何 Windows、驱动程序(最好是软件)更新
当然,这不应该扰乱应用程序的正常运行。
执行此操作的最简单和最安全的解决方案是什么?
答案1
写入/删除存储在 C 盘(包括本地用户文件夹)上的文件
您应该检查 C 上文件夹的权限,并确保“用户”无权访问,或者访问权限仅限于管理员。
有些文件夹是必需的,最常用的是C:\Users\User。您可以将这些文件夹重新定位到另一个磁盘。
安装/卸载软件(在任何驱动器上)
这需要管理员权限,因此对于“用户”来说是禁用的。
但是,您无法阻止“用户”安装不需要安装的便携式软件。
安装和访问 USB 存储
这可以通过创建 GPO 来完成。
例如 如何使用组策略在 Windows 中禁用或启用 USB 驱动器。
修改 Windows 注册表
这也需要管理员权限。
修改桌面上的图标
该文件夹C:\Users\User\Desktop归用户所有,因此需要将其设置为“管理员”,而“用户”仅具有读取和执行权限。
关闭或重新启动计算机
使用 GPO 也可以实现此目的。请参阅 允许或阻止非管理员用户重新启动/关闭 Windows。
应用任何 Windows、驱动程序(最好是软件)更新
这通常还需要管理员权限。