管理者のフォルダをロックダウンする方法は?
複数の管理者アカウントを持つWindows2008 R2サーバーで、他の管理者がロックを解除(アクセス権を取得)できない1つのドライブにプライベートフォルダー(管理者ごとに1つ)を作成することは可能ですか?
一方のアカウントのフォルダで「フルコントロール」の拒否を使用しようとしましたが、もう一方のアカウントでその制限を解除できます。
いいえ、管理者はシステムへのフルアクセス権を持っているため、権限を使用してこれを行うことはできません。
暗号化(Windowsビルトインまたはサードパーティ)を使用してそれを行うこともできますが、決心した管理者がパスワードを取得してファイルのロックを解除するのは簡単なので、100%安全として扱うことはできません。
私の知る限り、これは不可能です。
Windowsの「管理者」グループのすべてのメンバーは同等の権限を持っています。これは、それらの1つが行うことはすべて、他のいずれかによって元に戻すことができることを意味します。
彼は少しクリエイティブである必要があるかもしれませんが(バックアップオペレーターグループに自分自身を割り当てるなど)、最終的にはフォルダーにアクセスできるようになります。