Windows XP : 하나의 특정 디렉토리에 대한 읽기 액세스로 사용자를 만드는 방법은 무엇입니까?

Question

먼저 진술하겠습니다. 프로그램을 실행하려는 사용자 (또는 로그인)는 Windows 시스템 디렉토리 및 공유 라이브러리에 액세스해야합니다. %ProgramFiles%, 그러나 예를 들어 비전없는 사용자로 실행하여 Skype에 액세스하고 액세스 할 수 없는지 확인하고 싶습니다. 어느 불필요한 파일.

이를 수행하는 유일한 방법은이 사용자가 액세스하지 못하는 파일을 저장 한 다음 이러한 디렉토리에 액세스하거나 Skype 및 Azureus를 실행할 수있는 새로운 사용자 그룹을 작성하는 모든 Gazillion 디렉토리를 식별하는 것입니다. VM에서.

더 좋은 방법이 있습니까?

Answer 1

일반적으로 계정은 최소한 사용자 그룹의 구성원이며 많은 것들에 액세스 할 수 있습니다. 계정을 그룹의 구성원 또는 매우 제한적인 손님 그룹으로 만들 수 있습니다.

실제 문제는 프로그램의 토큰 (실행 프로세스가 가지고있는 보안 신분을 추적하는 내부 보안 개체)에 모든 사람과 인증 된 사용자 그룹이 포함되어 있으며, 이는 많은 내용에 대한 액세스를 읽었습니다. 해당 그룹없이 계정을 만들 수있는 방법이 없습니다. 모든 사람과 인증 된 사용자 그룹이 대부분의 모든 것에 대한 액세스를 제거 할 수 있지만 모든 것을 추적하는 것은 많은 노력이 될 것입니다.

신뢰할 수없는 프로그램에 대한 표준 사용자 또는 게스트 액세스 계정을 만드는 것은 충분히 안전 할 것입니다. 셀프 업데이트를 지원하고 관련 파일을 같은 장소에 보관하려면 실행중인 사용자 계정의 프로필에 직접 해당 프로그램을 설치하는 것이 좋습니다. C:\Documents and Settings\skype\Program Files\Skype

정말 멋진 것을 원한다면 제한된 토큰을 사용하여 모든 사람, 인증 된 사용자 등을 만들 수 있습니다. 그룹은 거부 (액세스 권한을 부여 할 수 없음) 제한된 SID 목록을 만들 수 있습니다. 프로그램이 모든 그룹이 액세스 할 수있는 글로벌 객체가 있기 때문에 이는 구현하기가 어려울 것입니다. 이는 일반적으로 안전한 선택입니다.

보다 CreaterestrictedToken 기능.

또한 오픈 소스 명령 줄 프로그램이 있습니다. 나는 그 목적을 위해 제한된 토큰과 작업 객체를 즉시 만들기위한 프로그램을 만들었습니다. ulimitnt

Answer 2

아마도 SUDOWN 해결책입니다. 이는 미용이없는 사용자로 실행하기 위해 Sudo-Smilar (Linux에서 알려진) 접근 방식이지만 필요할 때 관리 계정 (비밀번호 포함)으로 홍보 할 가능성이 있습니다.

사용자가 자신의 권한으로 Skype를 시작하지 않고 Sudown과 함께 "Run As"로 Skype를 시작할 수 있도록 컴퓨터를 잠그면 Skype를 시작할 수 있다고 생각합니다.

Answer 3

VM을 사용하는 것 외에도 샌드 박스를 사용할 수 있습니다. 보다 샌드 복음 여우 예입니다.

Answer 4

ACL API (MSDN의 샘플)를 사용하기 만하면