出於安全原因,我想阻止為特定 Windows 目錄建立符號連結和連接。那麼是否可以做到這一點?
我瀏覽了很多文章和博客,但找不到任何解決方案。
答案1
建立符號連結是使用者權限,而不是檔案系統權限。因此,無法按照您的意願控制特定的 Windows 目錄。只能在使用者/群組層級允許或拒絕。預設情況下,僅對本機管理員群組啟用。1]
你會想使用本地安全機構 (LSA) 職能使用 SeCreateSymbolicLinkPrivilege 權限。
系統管理員可以使用管理工具(例如使用者管理員)來新增或刪除使用者和群組帳戶的權限。管理員可以透過程式設計方式使用本機安全機構 (LSA) 功能來處理權限。 LsaAddAccountRights 和 LsaRemoveAccountRights 函數新增或移除帳戶的權限。 LsaEnumerateAccountRights 函數列舉指定帳戶擁有的權限。 LsaEnumerateAccountsWithUserRight 函數列舉擁有指定權限的帳戶。
| 常數/值 | 描述 |
|---|---|
| SE_CREATE_SYMBOLIC_LINK_NAME | 建立符號連結所需。 |
| TEXT("SeCreateSymbolicLinkPrivilege") | 使用者權限:建立符號連結。 |