Permissions

Windows Server Essentials 2012 和 RDP:如何禁用除使用者配置文件之外的對磁碟和 USB 設備的所有讀/寫訪問?

  • June 17, 2013

我想允許 RDP 使用者訪問他們的個人資料文件夾,但伺服器上沒有其他內容。理想情況下,我想在除使用者配置文件位置之外的所有磁碟上禁用讀取/列出文件/寫入。這可能嗎?

不,這是不可能的。作業系統的庫存權限在防止使用者寫入其個人資料之外的位置方面做得非常好。至少有一個位置(例如,“Public\AppData”文件夾)是世界可寫的,以允許遺留應用程序軟體執行(可能還有其他位置——這是第一個也是唯一一個出現在腦海中的位置)。

阻止使用者在作業系統卷上讀取(包括“列出文件夾內容”)的能力充其量是有問題的。使用者需要大量讀取權限才能使作業系統正常執行。對於非作業系統卷,它將取決於您的應用程序軟體的需求。

雖然我知道您希望限制訪問以防止披露對作業系統具有讀取訪問權限,但這不太可能成為嚴重問題。如果使用者想要四處閱讀作業系統文件,他們可以下載 Windows Server 2012 的評估版,因此閱讀伺服器上的作業系統文件不會告訴他們任何他們無法從公共資源中學到的東西。

(只是為了扮演魔鬼的擁護者,您可能還想考慮使用者對系統資料庫和核心對像管理器中的對象的權限。預設情​​況下,使用者也有很多權限來讀取和列出這些區域的內容,如果沒有“破壞”作業系統,您幾乎無能為力。)

引用自:https://serverfault.com/questions/515410