私たちのクラブには、すべてのクラブメンバーが使用できるWindows 7Professionalを搭載したコンピューターがあります。そして、誰もが独自の個別のアカウントを持っています。
誰もが任意のソフトウェアをインストールし、必要な機能を使用できるようにするため、これらのアカウントには管理者権限が必要です。ただし、許可されるべきではないことが1つあります。つまり、別のユーザーのプロファイルを調べます。これで、誰かが「c:\ Users(Any User Name)」に移動すると、このフォルダが保護されていることと、本当に内部を調べたいかどうかを示す小さなプロンプトが表示されます。 「OK」をクリックするだけで、任意のプロファイルにアクセスできます。
グループポリシーでAdministratorsグループの所有権の取得を無効にしようとしましたが、効果がありませんでした。管理者がお互いのプロファイルやドキュメントを調べることを効果的に禁止するにはどうすればよいですか?
あなたはできません、それはそれと同じくらい簡単です。
視点を変えてみてください。一般ユーザーのすべてのアカウントを変更してから、ソフトウェアをインストールする権限を与えて、スーパー管理者の権限を自分で保持してください。
おそらく最善の解決策は、各ユーザーがEFSを使用してファイルを暗号化することです。他の管理者が各フォルダの内容を一覧表示するのを防ぐことはできませんが、EFSはファイルを暗号化し、秘密鍵のコピーまたはバックアップ証明書が提供されない限り、管理者でさえファイルを復号化できません。
管理者グループが組み込まれているため、その権限を変更することはできません。
他の管理者からファイルを保護したり、特定のグループにファイルを制限したりする場合は、ACLを使用します。ただし、すべての管理者がファイルの所有権を取得できます。ドメインまたはローカルのセキュリティポリシーで、特定のグループとそのメンバーに対するファイルの所有権を変更します。
2番目の方法はよりスムーズですが危険です。EFSを使用する場合、誰もファイルを盗んだり、表示したり、コピーしたり、使用したりすることはできません。ただし、efs証明書を保護し、安全な個人的な場所に隠す必要があります。
さらに、管理者アカウントにEFS回復エージェントのアクセス許可がある場合、管理者はファイルを復号化できます。
フォルダの所有権を自分だけに変更できます(他のすべてのユーザーを削除します)。
しかし、トリックは、所有権を保持するまで他の管理者を防ぐだけです。彼らが所有権を変更する方法を知らなければ、あなたは安全です。