У нас есть сеть ПК с Windows 7, которые управляются как часть домена. Мы хотим, чтобы администратор домена не мог просматривать локальный диск ПК (C :), если он физически не находится на ПК. Другими словами, нет удаленного рабочего стола и нет возможности использовать UNC. Другими словами, администратор домена должен не разрешено положить \\user_pc\c$ в проводнике Windows и просмотреть все файлы на этом компьютере, если только он физически присутствует на самом ПК.
редактировать: чтобы прояснить некоторые из возникших вопросов / комментариев. Да, я админ ---но полный новичок в Windows. И да, ради этого и моих подобных вопросов, будет справедливо предположить, что я работаю на кого-то, кто параноик.
Я понимаю аргументы о том, что это «социальная проблема против технической», «вы должны доверять своим администраторам» и т. Д. Но это та ситуация, в которой я нахожусь. Я в основном новичок в системном администрировании Windows, но мне поручено создать среду, безопасную по определению владельца компании - и это определение явно сильно отличается от того, что ожидает большинство людей.
Короче я понимаю, что это необычная просьба. Но я надеюсь, что у сообщества ServerFault достаточно опыта, чтобы указать мне правильное направление.
Это сообщение Ян Ли с форумов Technet объясняет это достаточно просто:
Только группа «Администраторы» имеет доступ к административным общедоступным ресурсам, перейдите в группу «Администраторы» и удалите нужных пользователей и группы, для которых у вас нет доступа к административным общедоступным ресурсам.
Для нескольких клиентских ПК вы можете на одной из машин и отключить их, как указано ниже, экспортировать раздел реестра, а затем импортировать его в GPO.
Отключите акции по умолчанию:
Windows открывает скрытые общие ресурсы при каждой установке для использования системной учетной записью. (Совет: вы можете просмотреть все общие папки на вашем компьютере, набрав NET SHARE в командной строке.) Вы можете отключить административные общие папки по умолчанию двумя способами.
Один из них - остановить или отключить службу сервера, которая лишает возможности совместного использования папок на вашем компьютере. (Однако вы по-прежнему можете получить доступ к общим папкам на других компьютерах.) Когда вы отключите службу сервера (через Панель управления> Инструменты администрирования> Службы), обязательно нажмите Вручную или Отключено, иначе служба запустится при следующем запуске компьютера. перезапущен.
Другой способ - через реестр, отредактировав HKeyLocal Machine \ SYSTEM \ CurrentControlSet \ Services \ LanManServer \ Parameters. Для серверов отредактируйте AutoShareServer со значением REG_DWORD равным 0. Для рабочих станций отредактируйте AutoShareWks. Имейте в виду, что отключение этих общих ресурсов обеспечивает дополнительную меру безопасности, но может вызвать проблемы с приложениями. Прежде чем отключать их в производственной среде, проверьте свои изменения в лаборатории. Скрытые общие ресурсы по умолчанию:
Доля:
C $ D $ E $
Путь и функция:
Корень каждого раздела, только члены группы администраторов или операторов резервного копирования могут подключаться к этим общим папкам. На компьютере с Windows 2000 Server члены группы «Операторы сервера» также могут подключаться к этим общим папкам.
Тем не менее, это не лучшая практика. Вы закрываете доступ к тому, что должно быть доступно администратору домена. Это похоже на замену замков в вашей квартире, чтобы домовладелец не мог войти.
Существует ли в письменной форме политика компании о том, кто и почему должна быть доступна какая-либо конкретная информация на компьютере, подключенном к сети, и почему эта конкретная информация вообще должна находиться на компьютере в сети? Если это данные только для этого офиса, почему бы не выделить дополнительный ноутбук или использовать старый автономный компьютер, к которому можно получить доступ только в реальном офисе? Ноутбук в сейфе нелегко украсть или получить к нему доступ. Пожары, наводнения, торнадо, хакеры в Китае, Индии и т. Д. Тогда подключайте его только тогда, когда это необходимо.
Используйте зашифрованные тома с помощью сторонней утилиты шифрования, такой как TrueCrypt.
Это единственный способ предотвратить доступ администратора к данным, которых у него не должно быть. Этого достаточно против честного администратора, но этого недостаточно против злонамеренного администратора, который все еще может устанавливать регистраторы ключей или использовать инструменты удаленного доступа для просмотра содержимого тома, когда том разблокирован.
Что касается тех, кто задается вопросом, почему вы хотите заблокировать администратора от данных, это просто ПЛОХАЯ ПРАКТИКА, что по умолчанию администраторы имеют доступ к любым конфиденциальным данным, будь то финансовые данные, личные данные сотрудников, данные исследований и т. Д. Они не должны.
Часть работы ИТ-администратора должна заключаться в том, чтобы убедиться, что ни одна из учетных записей администратора не будет скомпрометирована, и злоумышленник получит полный доступ ко всем данным компании.