https://stackoverflow.com/questions/89233
-
01-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
在多用户环境中使用 Windows Server 2003(通过远程桌面,将其用作应用程序服务器),如何以不会显示在任何其他用户桌面上的方式安装(最好是加密的)卷?
尝试过但失败的方法:
调整用户权限 - 已安装卷的显示无法更改。
Bestcrypt / truecrypt。它们都显示本地管理员的音量
解决方案
您将很难找到针对您的具体问题的解决方案。驱动器安装点不存储在用户级别(据我所知)。您可以使用几种不能保证安全的解决方法:
- 根据组策略隐藏对某些驱动器号的访问。不太安全,很容易解决。
- 不要安装单独的卷:使用NTFS加密并简单地设置某些文件夹的安全权限。
有什么特殊原因它必须是整个驱动器吗?如果您试图避免允许本地管理员拥有本地驱动器的权限,那么除非您使用第三方可能会严重失败的解决方案,否则您几乎不走运。您可以使用组策略进行临时配置以禁止本地管理员访问,但这将很困难且容易出错。
如果您的目标是拥有其他用户无法访问的单独文件夹(或卷),请将文件存储在远程服务器上。这样应用程序服务器上的本地管理员就无法任意访问其他人的文件夹。(除非他们具有域管理员或企业管理员权限)您可以设置一个大型网络驱动器并在其上拥有不同的用户文件夹,每个文件夹都使用 NTFS/其他解决方案进行加密,并且仅对该单个用户具有读/写权限。
其他提示
注册表中有一个键用于隐藏映射驱动器。
如果您想停止出现在“我的电脑”中的任何驱动器组合
在注册表中添加“NoDrives”的二进制值
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”
这是所有值的表格(请注意,您可以将值相加来隐藏多个驱动器,该值也是二进制类型,但必须以十六进制输入,因此,如果您添加了几个驱动器,请准备好进行一些十六进制数学计算。):
A 1 00 00 00
B 2 00 00 00
C 4 00 00 00
D 8 00 00 00
E 16 00 00 00
F 32 00 00 00
G 64 00 00 00
H 128 00 00 00
I 00 1 00 00
J 00 2 00 00
K 00 4 00 00
L 00 8 00 00
M 00 16 00 00
N 00 32 00 00
O 00 64 00 00
P 00 128 00 00
Q 00 00 1 00
R 00 00 2 00
S 00 00 4 00
T 00 00 8 00
U 00 00 16 00
V 00 00 32 00
W 00 00 64 00
X 00 00 128 00
Y 00 00 00 1
Z 00 00 00 2
即使驱动器号是隐藏的 - 卷仍然可以访问,除非您更改文件系统本身的 ACL - 为什么这如此令人不快?
NTFS 支持在目录内安装卷。
示例 - 不安装外部驱动器 D:, ,您可以将其安装在 C:\mountedVolumes\externalHardDrive
然后您可以在父文件夹上使用 ACL(mountedVolumes)以防止除您之外的其他用户访问它。如果他们无法进入文件夹,他们就无法进入驱动器,也无法看到它在那里。它看起来就像是一个他们无法打开的文件夹。
笔记:这假设您拥有管理权限(至少在您第一次设置时),而其他人没有(因此他们不能仅仅拥有 mountedVolumes 无论如何都要进入驱动器)
