web-dev-qa-db-ja.com

ユーザーフォルダ全体が共有されます

最近、新しい管理者アカウントを作成し、元の管理者アカウントを「ベストプラクティスのセキュリティ」のために標準ユーザーアカウントに変換しました。標準ユーザーとして、標準ユーザーが許可していない管理者ユーザーフォルダーにアクセスできることに気付きましたできる。

[ユーザー]フォルダーのプロパティと[共有]タブの[詳細な共有]セクションを確認すると、[全員]グループがユーザーフォルダーを完全に制御できます。フォルダーはState:Sharedにあることも示されます。私はusersフォルダーでこれらのアクセス許可を開始しなかったので、私が考えることができる唯一のことは、ホームグループを作成したときにホームグループが共有を開始したということです。テスト目的でのみホームグループを作成し、後で削除しました。私は、ホームグループまたはパブリック共有の作成時にユーザーフォルダー全体を自動的に共有し、ホームグループを削除した後でもユーザーフォルダーが共有されたままになる、Win7に関する同様のレポートを読みました。 https://scottiestech.info/2009/09/25/windows-7-file-sharing-fixing-the-entire-user-directory-shared-problem/

Windows 10が同じ動作を継承している可能性はありますか?この段階では、何が起こったのかを純粋に推測していますが、ホームグループの問題は実行可能のようです。

基本的に、これをすべて通常またはデフォルトに戻したいのですが、これもセキュリティの問題であることが心配です。ここで何が起こっているのか正確にはわからないので、何も壊したり事態を悪化させたりせずに、どのアクセス許可を取得して変更を開始するかがわかりません。誰か助けてもらえますか?

3
Kol12

現在のところ、近くにWindows 10システムがありませんが、フォルダーの共有を解除するだけで十分でしょう。

また、共有権限はファイルシステムの権限を上書きしないことに注意してください。したがって、UsersディレクトリにEveryone: Fullの共有アクセス許可があり、ファイルシステムのアクセス許可がEveryone: Read, Administrators: Full, Creator/Owner: Fullなどのより制限的なアクセス許可で構成されている場合、2つの間のより制限的なアクセス許可が有効です。したがって、そのシナリオでは、Everyoneグループ/セキュリティプリンシパルは読み取り専用に制限されています。さらに、Usersの下のサブディレクトリに、Everyoneグループ/セキュリティプリンシパルに対して設定された権限がまったくない場合、「Everyone」はサブディレクトリを表示できますが、開いたり読み取ったりすることはできません。

ちなみに、あなたが読んでいるベストプラクティスはわかりませんが、Windows 10で見逃した何かが大幅に変更されない限り、組み込みの管理者アカウント(RID/SIDが-500で終わるアカウント) 、「標準ユーザー」アカウントに変更することはできません。常に管理者権限があります。

私が精通しているベストプラクティスは、組み込みアカウントを無効にし(ただし、緊急事態が発生した場合でもセーフモードで使用できます)、名前を変更し、「Administrator」という名前の新しい標準ユーザーアカウントを作成することです。 「これも無効になっていて(ハッカーになるだけです)、自分で使用するために別の名前で管理者アカウントを作成します。

更新:

コメントの会話に従って、インストール中に作成されたデフォルトのユーザーを指していることを理解しています。私はあなたが話していると誤解していたので、組み込みの管理者ではありません。あなたが述べたように、そのユーザーは標準ユーザーに変換することができます。混乱をお詫びします。

デフォルトのアクセス許可については、テスト用のWindows 10仮想マシン(アニバーサリーアップデート1607)を立ち上げたところ、UsersディレクトリのデフォルトがEveryone: Read/Execute/Listであることがわかりました。ただし、Usersディレクトリの下のすべてのプロファイルディレクトリ(Users\someone)は、Usersからアクセス許可を継承しないように設定されており、明示的にSYSTEM: Full; Administrators: Full; Profile Owner: Fullに設定されています。そのため、adminsとそのプロファイルを所有するユーザー以外には、他のユーザーのプロファイルディレクトリにあるものを読み取り、一覧表示、または変更する権限がありません。

したがって、権限をデフォルトにリセットするには、次のようにします。

  1. ユーザーディレクトリの共有を解除します

  2. 「ユーザー」ディレクトリ(セキュリティタブ)のファイルシステム権限をEveryone: Read/List/Execute; SYSTEM: Full; Administrators: Full; Users: Read/List/Executeにリセットします

  3. 親ディレクトリからアクセス許可を継承しないように、Usersディレクトリの下のユーザープロファイルディレクトリを変更し([セキュリティ]タブ-> [詳細設定])、アクセス許可をSYSTEM: Full; Administrators: Full; <user name>: Fullに明示的に設定します。

もちろん、これらの手順はPowerShellコマンドなどを使用して実行できますが、経験レベルを維持し、ロープを学ぶのに役立つという精神で、GUIメソッドに固執します。ここに役立つスクリーンショットがいくつかあります。

ユーザーディレクトリ: Users directory permissions

個々のユーザープロファイルディレクトリの権限(権限は継承されないことに注意してください) Test user directory permissions

2
David Woodward