我们有一个由 Windows 7 PC 组成的网络,这些 PC 是作为域的一部分进行管理的。我们希望域管理员无法查看 PC 的本地驱动器 (C:),除非他亲自在 PC 旁。换句话说,没有远程桌面,也无法使用 UNC。换句话说,域管理员应该不是被允许进入\\user_pc\c$Windows 资源管理器并查看该计算机上的所有文件,除非他本人就在 PC 那里。
编辑:澄清一些出现的问题/评论。是的,我是管理员---但我是一个 Windows 新手。是的,为了这个问题以及我的类似问题,可以公平地假设我是为一个偏执狂的人工作。
我理解关于这是“社会问题还是技术问题”以及“你应该能够信任你的管理员”等争论。但这就是我所处的境地。我对 Windows 系统管理基本上是新手,但我的任务是创建一个按照公司所有者的定义是安全的环境——而这个定义显然与大多数人的期望大不相同。
简而言之,我知道这是一个不寻常的请求。但我希望 ServerFault 社区有足够的专业知识为我指明正确的方向。
答案1
这篇文章来自 Technet 论坛,作者是 Yan Li解释起来很简单:
只有管理员组才有权访问管理共享,请转到管理员组并删除您不想访问管理共享的用户和组。
对于多台客户端电脑,您可以在其中一台机器上按照如下所述禁用它们,导出注册表项,然后在 GPO 中导入它。
禁用默认共享:
Windows 在每个安装上打开隐藏共享,供系统帐户使用。(提示:您可以通过在命令提示符中键入 NET SHARE 来查看计算机上的所有共享文件夹。)您可以通过两种方式禁用默认的管理共享。
一种方法是停止或禁用服务器服务,这样就无法共享计算机上的文件夹。(但是,您仍然可以访问其他计算机上的共享文件夹。)禁用服务器服务时(通过控制面板 > 管理工具 > 服务),请务必单击手动或禁用,否则下次重新启动计算机时该服务将启动。
另一种方法是通过编辑 HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 来通过注册表。对于服务器,编辑 AutoShareServer,其 REG_DWORD 值为 0。对于工作站,编辑 AutoShareWks。请记住,禁用这些共享可提供额外的安全措施,但可能会导致应用程序出现问题。在生产环境中禁用这些共享之前,请先在实验室中测试您的更改。默认隐藏共享为:
分享:
加元 德元 埃元
路径及功能:
每个分区的根目录,只有 Administrators 或 Backup Operators 组的成员才能连接到这些共享文件夹。对于 Windows 2000 Server 计算机,Server Operators 组的成员也可以连接到这些共享文件夹。
不过,这样做并不好。你阻止了域管理员访问本应可以访问的内容。这类似于更换公寓的锁,让房东无法进入。
答案2
使用第三方加密实用程序(例如 TrueCrypt)来加密卷。
这是防止管理员访问其不应拥有的数据的唯一方法。对于诚实的管理员来说,这已经足够了,但对于恶意的管理员来说,这还不够,恶意的管理员仍然可以安装键盘记录器或使用远程访问工具在卷解锁时查看卷内容。
对于那些想知道为什么要将管理员锁定在数据之外的人来说,这只是一种不好的做法,默认情况下,管理员可以访问任何类型的机密数据,无论是财务数据、个人员工详细信息、研究数据等。他们不应该这样做。
IT 管理员的工作职责之一就是确保没有任何单个管理员帐户受到入侵,从而导致入侵者可以完全访问所有公司数据。
答案3
公司是否有书面政策规定谁以及为什么特定信息可以在联网计算机上访问,以及为什么首先需要将这些特定信息放在联网计算机上?如果这些数据仅供本办公室使用,为什么不预算一台额外的笔记本电脑或使用只能在实际办公室访问的旧“离线”计算机?保险箱中的笔记本电脑不容易被盗或访问。火灾、洪水、龙卷风、中国、印度等黑客。然后只在必要时连接它。