Как максимально ограничить доступ к файловой системе?

Question

[pkruglov]

По умолчанию пользователь и даже гость в Windows 2008 могут создавать папки и файлы в корне C:, просматривать содержимое папки Windows и т.д.
Нужно ограничить доступ так, чтобы он мог создавать что-либо только в своей домашней директории, а ещё лучше, чтобы он и просматривать ничего лишнего не мог.

Answer 1

[Howeal]

В настройках безопасности для диска C (Свойства -> Безопасность) удалите объект Прошедшие проверку. Для него поумолчанию выставлены права на создание папок.

Comments

[pkruglov]

Там нет такого объекта. Есть только CREATOR OWNER, SYSTEM, Administrators, Users. Однако зашел в Advanced и нашел для группы Users выставленные права «Create folders / append data» и «Create files / write data». Убрал их, теперь пользователи и гости не могут создавать ничего в корне.
Непонятно только почему гость-то мог? Его в правах и не было.

[Павел Загребелин]

Проверьте, чтобы администратор мог создавать папки, а то у меня из-за подобной настройки очень долго не вставал SP1 на windows 7: инсталлятор хотел в корне системного диска создать временный каталог, а прав на это не было. Инсталляторы разные бывают, возможно повторение моей ситуации.

Answer 2

[JDima]

По умолчанию пользователь и даже гость в Windows 2008 могут создавать папки и файлы в корне C:

Точно ничего не путаете?

просматривать содержимое папки Windows и т.д.

Пусть просматривает. Там ничего особенного нет.

По умолчанию, обычный пользователь может писать только в домашнюю директорию.