V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
8e47e42
V2EX  ›  问与答

Windows 10 下如何控制共享一台物理主机的用户互相访问对方的文档?

  •  
  •   8e47e42 · 2016-10-27 09:41:03 +08:00 · 1445 次点击
    这是一个创建于 2961 天前的主题,其中的信息可能已经有所发展或是发生改变。
    场景:公司有台电脑,平时有 4 个兼职的 sales 会轮流使用,大家各自会在机器上存一些比较敏感的资料(客户信息相关资料),所有 sales 都会物理接触该电脑,但是按照公司要求,任何情况下他们不应该能各自看到对方的文件(哪怕是文件名)

    系统: win10

    硬盘情况:一个装着系统的 256GB SSD+4TB HDD 仓库盘

    求解决方案
    11 条回复    2016-10-27 16:08:14 +08:00
    hellommd
        1
    hellommd  
       2016-10-27 09:53:07 +08:00   ❤️ 1
    新建标准用户就可以了,人手一个账号。

    最好不要分盘符,就一个系统 C 盘,免得使用者把文件放到其他盘符去了。默认存放用户的“文档”文件夹下,标准用户权限的无法访问他人目录。
    hellommd
        2
    hellommd  
       2016-10-27 09:56:09 +08:00   ❤️ 1
    如果楼主要求是资料要放 “仓库盘”,就建立对应目录给他们,利用 NTFS 权限功能控制。
    3yvsye
        3
    3yvsye  
       2016-10-27 09:57:03 +08:00   ❤️ 1
    分别建立 4 个子账户和独立密码,客户文件放在各自账户文件夹中,如果要访问其他账户信息就需要管理员密码。
    wevsty
        4
    wevsty  
       2016-10-27 10:10:28 +08:00   ❤️ 1
    既然有物理接触的情况,光靠账户权限是不行的,人家 PE 启动一下数据就一览无余。
    如果要系统自带的解决方案,除了得每个人一个账户外,需要设置对文档启用 EFS 加密才行,这样才有可能阻止数据被拷贝走。不过使用 EFS 依然不能解决文件名需要保密的问题, PE 启动后需要虽然不能复制或者访问文件内容,但是文件名还是可以看到的。
    剩下的备选方案就是,用系统自带的 bitlocker 每个人给他们新建 VHD ,然后对 VHD 分区启用 bitlocker 。
    或者使用第三方解决方案,比如 VeraCrypt , EncfsMP
    titanium98118
        5
    titanium98118  
       2016-10-27 10:19:10 +08:00   ❤️ 1
    开启 bitlocker ,为每位 sales 建一个标准用户,文档放在各自用户名的目录下就行了。
    shlabc
        6
    shlabc  
       2016-10-27 10:57:14 +08:00   ❤️ 1
    1 、每个人一个独立的 VM 虚拟机

    2 、瘦客户机
    http://baike.so.com/doc/2756466-2909168.html
    8e47e42
        7
    8e47e42  
    OP
       2016-10-27 11:41:10 +08:00
    @titanium98118 我一直以为所有用户是用同个密匙的!学习了

    @wevsty 我有想过这个问题,我其实是想直接 VHD 加密后自动挂载,但是公司这种 sales 流动性比较大,经常需要增加用户, windows 10 似乎又没 template 新建标准用户,怕用户量增加了不好维护

    @shlabc 因为不是国内公司, terminal server 不管是用哪个 windows server 的正版都太贵了(还要 CAL )。。我们其他部门系统的确是用 thin client+terminal server 的,但是这个 senario 估计老板不会批
    wevsty
        8
    wevsty  
       2016-10-27 12:36:26 +08:00   ❤️ 1
    @8e47e42 @titanium98118

    这里有几个误区,前面说加账户就行的这个实际上是不对的。因为可以通过 PE 一类无视权限进行拷贝。即使是对系统盘开启 bitlocker 然后再建立标准用户存放数据仍然是不能保证安全的,因为 bitlocker 的密钥一旦共享出去就跟没有加密一样, PE 下面一样可以解开 bitlock 然后无视权限拷贝走数据。
    只有每个人一个独立的加密密钥才可以保证安全,账户设置的太多是个麻烦事,其实直接使用 EncfsMP 这样的第三方解决方案是最合适楼主需求的。
    EncfsMP 开源产品提供文件级的加密,不需要加密磁盘分区,很适合储存共享空间,并且可以提供文件名加密的功能,有 GUI ,谁来了自己输入密码挂载一下就行了。
    最后为什么一定要是 Windows ?
    如果没有特殊需求, Linux 可能更适合楼主。简单的文档办公 Linux 是可以胜任的, Encfs 也是可以在 Linux 下面使用的。而且不用考虑 MS 的授权问题。
    longaiwp
        9
    longaiwp  
       2016-10-27 15:02:53 +08:00
    @wevsty BIOS 可以加锁的, PE 需要你能更改默认的加载顺序
    baoyexi
        10
    baoyexi  
       2016-10-27 15:24:23 +08:00 via Android
    @longaiwp 拆硬盘直接挂到别的机器上呢
    8e47e42
        11
    8e47e42  
    OP
       2016-10-27 16:08:14 +08:00
    @wevsty 哈哈哈因为还要用一些专业性软件,只有 win 下有 license ,所以 Linux 肯定没办法了

    @longaiwp 已经加锁并物理锁机箱,但是并没有啥用,都是能徒手掰锁的鬼佬,分分钟掰开机箱拿硬盘哈哈哈哈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5928 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 02:19 · PVG 10:19 · LAX 18:19 · JFK 21:19
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.