Política de grupo: Bloquear o acesso a \\ localhost \ C $

7

Temos um computador Windows 7 restrito que oculta e impede que usuários não administradores acessem o C Drive usando as seguintes políticas:

No entanto, eles podem contornar isso digitando o seguinte no Explorer: \localhost\C$

Como posso desabilitar esse caminho, mas permitir outros caminhos UNC. Por exemplo, eles têm permissão para acessar uma pasta compartilhada em um computador diferente. por exemplo. \192.168.2.1\SharedTransfer

Nota: Simplesmente Ativando a Política de Grupo: Remover menu Executar do Menu Iniciar não funcionará, pois isso bloqueia todos os caminhos UNC.

Atualizar
O usuário, chamado Site User, não é membro do grupo Administrator direta ou indiretamente. É apenas um membro do grupo Users .

Acessou o seguinte de: Control Panel\All Control Panel Items\Administrative Tools\Computer Management (Local) > System Tools > Local Users and Groups

Local Users and Groups
 - Groups
      - Administators
             - Administrator
             - Service User (our admin user)
      - Users
             - NT AUTHORITY\Auntenticated Users (S-1-5-11)
             - NT AUTHORITY\INTERACTIVE (S-1-5-4)
             - Site User (user account in question)
    
por Ryan R 10.12.2012 / 23:58

4 respostas

3

Você pode impedir que o "compartilhamento administrativo" seja criado com o GPP.

If you navigate to Computer Configuration / Preferences /Windows Settings / Network Shares, you’ll find this hidden gem. Right-click the Network Shares node to create a new share policy.

Fonte: link

Isso resolveria seu problema?

    
por 15.12.2012 / 02:44
3

Gostaria de salientar que Políticas de Grupo são apenas entradas de registro e dependem de aplicativos sendo programados para lê-los e obedecê-los. Se você realmente quiser impedir que usuários locais acessem a unidade C: , defina as permissões na guia Segurança em sua caixa de diálogo Propriedades. Isso é separado de suas permissões de compartilhamento. Você poderia, por exemplo, adicionar uma permissão Negar (em Avançado) ao seu "Usuário do site". (isso além de impedi-los de acessar o C$ share, mas você resolve esse problema)

    
por 15.12.2012 / 02:26
1

@Zoredache How can I check and fix these permissions? Can you please submit an answer and I will try it.

Abra o grupo Administrators na máquina local, veja quem são os membros desse grupo. Verifique se as pessoas que estão acessando \localhost\C$ não são membros de nenhum dos grupos (ou se são membros de grupos que são membros desse grupo, Administrators <= GroupA <= GroupB <= User ).

Depois que o usuário, grupo ou grupo aninhado que é membro de Administradores for removido (por meio de uma alteração nas configurações da política de grupo ou manualmente), os usuários não poderão mais acessar o \localhost\C$ share. / p>     

por 13.12.2012 / 18:24
0

Não há um método geral para desabilitar compartilhamentos administrativos. Apenas o comando:

NET SHARE C$ /delete

pode ser executado para desabilitar esse compartilhamento em um computador em rede. O problema é que o compartilhamento é recriado automaticamente após a reinicialização.

Uma solução comum é criar um arquivo em lotes para desabilitar compartilhamentos administrativos (eles podem ser exibidos executando o comando NET SHARE ) e agendá-lo para ser executado em todas as inicializações do sistema usando o Agendador de Tarefas do Windows.

fonte

    
por 15.12.2012 / 09:48