Как максимально ограничить доступ к файловой системе?
По умолчанию пользователь и даже гость в Windows 2008 могут создавать папки и файлы в корне C:, просматривать содержимое папки Windows и т.д.
Нужно ограничить доступ так, чтобы он мог создавать что-либо только в своей домашней директории, а ещё лучше, чтобы он и просматривать ничего лишнего не мог.
В настройках безопасности для диска C (Свойства -> Безопасность) удалите объект Прошедшие проверку. Для него поумолчанию выставлены права на создание папок.
Там нет такого объекта. Есть только CREATOR OWNER, SYSTEM, Administrators, Users. Однако зашел в Advanced и нашел для группы Users выставленные права «Create folders / append data» и «Create files / write data». Убрал их, теперь пользователи и гости не могут создавать ничего в корне.
Непонятно только почему гость-то мог? Его в правах и не было.
Проверьте, чтобы администратор мог создавать папки, а то у меня из-за подобной настройки очень долго не вставал SP1 на windows 7: инсталлятор хотел в корне системного диска создать временный каталог, а прав на это не было. Инсталляторы разные бывают, возможно повторение моей ситуации.