Erlauben Sie nur einem Administratorkonto den Zugriff auf einen Ordner (und blockieren Sie andere Administratorkonten)

Von demZehn unveränderliche Gesetze der Sicherheit:

Gesetz Nr. 2:Wenn ein Bösewicht das Betriebssystem auf Ihrem Computer ändern kann, ist es nicht mehr Ihr Computer.
Gesetz Nr. 3:Wenn ein Bösewicht uneingeschränkten physischen Zugriff auf Ihren Computer hat, ist es nicht mehr Ihr Computer.
...
Gesetz Nr. 6:Ein Computer ist nur so sicher, wie der Administrator vertrauenswürdig ist.
Gesetz Nr. 7:Verschlüsselte Daten sind nur so sicher wie ihr Entschlüsselungsschlüssel

Nachdem wir die Grundlagen geklärt haben, haben die anderen hier im Großen und Ganzen recht. Ohne eine Domäne können Sie sich nicht effektiv C:\SensitiveDatavor NormalAdmin schützen. SelbstmitWenn die Informationen in einer Domäne lokal auf einem System gespeichert sind, auf dem NormalAdmin über Administratorrechte verfügt, ist der Schutz dieser Daten über Dateiberechtigungen möglicherweise immer noch wirkungslos. Außerdem kann es je nachdem, wieWirklichSie befürchten zwar, dass NormalAdmin Zugriff auf diese Daten erhält, es besteht jedoch immer noch das Problem des „physischen Zugriffs“.

Der einzige Schutz, der Angriffe mit physischem Zugriff oder einem Angreifer mit Administratorrechten auf das System wahrscheinlich übersteht, ist die Dateiverschlüsselung. Hier kommt Gesetz Nr. 7 ins Spiel. Wenn Sie die Dateien verschlüsseln und keinen Zugriff durch NormalAdmin wünschen, stellen Sie sicher, dass der Entschlüsselungsschlüssel durch einen Mechanismus geschützt ist, auf den NormalAdmin keinen Zugriff hat oder nicht einfach so erlangen kann.

Aber selbst mit Dateiverschlüsselung könnte NormalAdmin die Daten erhalten, wenn er sich genug anstrengen würde. Mit uneingeschränktem, unbeaufsichtigtem physischen Zugriff auf das System (undbesondersmit bereits vorhandenen Administratorrechten) kann er damit so ziemlich alles machen, was er will. Dazu gehört die Installation von Keyloggern oder anderer Spyware, die ihm den Zugriff auf lokal gespeicherte Entschlüsselungsschlüssel erleichtern könnte. Oder er könnte ein Skript schreiben und installieren, um die vertraulichen Daten zu kopieren, wenn ein Benutzer sie entschlüsselt. Zugegeben, diese Methoden sind viel invasiver und erfordern wesentlich mehr Aufwand als nur beiläufig die Dateiberechtigungen zu ändern. Aber der Punkt ist, dass das Risiko weiterhin besteht. Siehe Gesetz Nr. 6.

HINWEIS: Das oben Gesagte behandelt eigentlich nur den Zugriff auf die Dateien im Allgemeinen - ein Alles-oder-Nichts-Berechtigungsschema. Wenn Sie zu einem Schema gelangen möchten, daserlaubtNormalAdmin habenlesenZugriff, verhindert aber effektiv, dass erschreibenZugriff, wird das Problem noch schwieriger (wenn nicht unmöglich).

Das können Sie nicht tun. Der Sinn eines Administrators besteht darin, dass er ein Administrator ist. Sie können dies in einer Domäne möglicherweise tun, indem Sie Gruppen vom Typ „Fast Administrator“ erstellen.

Möglicherweise gibt es spezielle Software, die Ihnen hilft, aber mit Windows allein ist dies nicht möglich, insbesondere nicht in einer Arbeitsgruppe.

Eine ähnliche Frage wurde gestern gestelltWin 7, Ordner mit zwei Admins schützen. Wenn Verschlüsselung eine Option ist, kann das die Lösung sein.