我想允许 RDP 用户访问他们的配置文件文件夹,但不允许访问服务器上的其他内容。理想情况下,我想禁用除用户配置文件位置之外的所有磁盘上的读取/列出文件/写入。这可能吗?
答案1
不,这是不可能的。操作系统的默认权限可以很好地阻止用户写入其配置文件之外的位置。至少有一个位置(例如“Public\AppData”文件夹)是全球可写的,以允许旧版应用程序软件运行(可能还有其他位置——这是我想到的第一个也是唯一一个位置)。
阻止用户读(包括“列出文件夹内容”)在操作系统卷上最多会出现问题。用户需求需要大量的读取权限才能使操作系统正常运行。对于非操作系统卷,这取决于您的应用软件的需求。
虽然我理解您希望限制访问以防止泄露,但拥有对操作系统的读取权限不太可能造成严重问题。如果用户想阅读操作系统文件,他们可以下载 Windows Server 2012 的评估版本,因此阅读服务器上的操作系统文件不会告诉他们任何他们无法从公共来源了解到的信息。
(只是为了扮演魔鬼代言人,您可能还想考虑用户对注册表以及内核对象管理器中的对象的权限。默认情况下,用户也有很多权限可以读取和列出这些区域中的内容,并且您几乎无法对此采取任何措施,除非“破坏”操作系统。)