我有一台 Windows 7 計算機,有兩個使用者。其中一位是管理員,另一位是受限使用者。
受限使用者應有權存取互聯網,但不應存取 LAN 中任何電腦的任何網路共用。如果他甚至沒有看到 LAN 中有任何電腦和工作組,那就最好了。
管理員使用者應能正常存取網際網路和區域網路。
我怎樣才能實現這個目標?
編輯:
我無法控制區域網路中的其他電腦。
您認為在此電腦上保留家庭群組就足夠了嗎?
答案1
很可能有更好的解決方案。但這裡有一個:
- 不要向該用戶授予您的共享權限,甚至明確拒絕他們
- 停用該使用者的電腦瀏覽器服務。一種非常原始的方法是將其設定為停用,並且由於您需要成為管理員才能啟用它,因此您自己可以,而您的使用者則不能。另一種方法是使用登入/登出腳本來執行此操作。
答案2
這個答案比你想像的要大得多,充滿了許多可變的部分。
首先,您需要考慮「使用者」的知識程度。如果進階使用者(或駭客)可以坐在電腦前…幾乎沒有他/她不能做的。精通技術的用戶可能知道如何直接存取共享,但在看到基本的「存取被拒絕」訊息時可能無法做更多事情。典型的用戶不知道如何存取網路共享,除非有捷徑。
「網路共享」是什麼意思?您是在談論單獨的 Windows 伺服器上的實際「Windows 網路共用」嗎?如果是這樣,只需設定權限以允許/限制您認為合適的用戶。作為一般規則,如果使用者沒有網路共享的權限,則他無法存取它們。瀏覽到 \some-server\share 將導致友善的登入提示,要求輸入使用者名稱/密碼(如果他沒有登入網域)或只是一條「存取被拒絕」訊息(如果他登入網域並且沒有權限)權限) 。可以將權限分配給管理員,以便提供他所需的一切。至於「隱藏它」…這可以追溯到用戶擁有的技能水平。您無法按使用者過濾網路連接,只能按 IP 位址、連接埠或其他「網路」屬性過濾網路連接。一旦建立了網路連接,您就將受到應用程式層的支配來維護安全性。不幸的是,沒有辦法對每個使用者的防火牆規則套用群組原則物件。
如果您想限制網路共享的“外觀”,您可以使用群組策略做很多事情,這些策略可以模糊或限制各種網路共享的視圖......但是這個討論可能會變得相當冗長,實際上不應該做得很輕。
如果您談論的是具有部分實現的 SMB 堆疊的「家用級」設備(路由器?nas????)上的網路共享,那麼您確實受到製造商的擺佈。如果它不要求用戶/密碼,那麼您無能為力。
如果你在談論其他事情...我們需要更多資訊。