禁止管理帐户对Users目录下所有文件的执行权限

最新推荐文章于 2021-08-09 16:45:12 发布
最新推荐文章于 2021-08-09 16:45:12 发布
阅读量125 收藏
点赞数
原文链接:http://www.cnblogs.com/firadio/p/6365804.html
版权

平时经常需要维护具有很多远程桌面用户的系统里,可能会不小心运行了用户上传的EXE文件。

所以设计了这套程序,防止这种现象的事情发生。

  

using System;
using System.IO;
using System.Security.AccessControl;
using System.DirectoryServices.AccountManagement;

namespace xcacls
{
    class Program
    {
        static void Main(string[] args)
        {
            denyExecuteFileOfAdminAtUsers();
            Console.ReadKey();
        }

        /// <summary>
        /// 禁止管理帐户对Users目录下所有文件的执行权限
        /// </summary>
        static void denyExecuteFileOfAdminAtUsers()
        {
            Console.Title = "禁止管理帐户对Users目录下所有文件的执行权限";
            string FileName = @"C:\Users\";
            DirectoryInfo dInfo = new DirectoryInfo(FileName);
            foreach (DirectoryInfo dInfo2 in dInfo.GetDirectories())
            {
                if (isExistUser(dInfo2.Name))
                {
                    bool ret = SetAccessControl_denyExecuteFile(dInfo2, @"BUILTIN\Administrators");
                    Console.WriteLine("dInfo2=>" + dInfo2.Name + " ret:" + ret.ToString());
                }
            }
            Console.WriteLine("Finish.");
        }

        /// <summary>
        /// 禁止管理帐户对指定目录下所有文件的执行权限
        /// </summary>
        /// <param name="dInfo"></param>
        /// <returns></returns>
        static bool SetAccessControl_denyExecuteFile(DirectoryInfo dInfo, string Account = @"BUILTIN\Administrators")
        {
            if (!dInfo.Exists)
            {
                return false;
            }
            //string Account = @"BUILTIN\Administrators";
            FileSystemRights Rights = new FileSystemRights();
            Rights = Rights | FileSystemRights.ExecuteFile;
            DirectorySecurity dSecurity = dInfo.GetAccessControl();
            FileSystemAccessRule AccessRule2 = new FileSystemAccessRule(Account, Rights, InheritanceFlags.ObjectInherit, PropagationFlags.InheritOnly, AccessControlType.Deny);
            bool modified;
            dSecurity.ModifyAccessRule(AccessControlModification.Add, AccessRule2, out modified);
            dInfo.SetAccessControl(dSecurity);
            return modified;
        }

        /// <summary>
        /// 判断用户名是否存在
        /// </summary>
        /// <param name="username">用户名</param>
        /// <returns></returns>
        static bool isExistUser(string username)
        {
            PrincipalContext context = new PrincipalContext(ContextType.Machine);
            UserPrincipal userPrincipal1 = UserPrincipal.FindByIdentity(context, username);
            if (null == userPrincipal1)
            {
                return false;
            }
            return true;
        }

        /// <summary>
        /// 添加远程桌面用户
        /// </summary>
        /// <param name="username">用户名</param>
        /// <param name="password">密码</param>
        /// <param name="displayName">显示名称</param>
        /// <returns>是否创建成功</returns>
        static bool addRemoteDesktopUser(string username, string password, string displayName = null)
        {
            PrincipalContext context = new PrincipalContext(ContextType.Machine);
            UserPrincipal user = new UserPrincipal(context);
            user.SetPassword(password);
            if (!string.IsNullOrEmpty(displayName))
            {
                user.DisplayName = displayName;
            }
            user.Name = username;
            user.UserCannotChangePassword = true;
            user.PasswordNeverExpires = true;
            try
            {
                user.Save();
            }
            catch (Exception ex)
            {
                return false;
            }
            GroupPrincipal group = GroupPrincipal.FindByIdentity(context, "Remote Desktop Users");
            group.Members.Add(user);
            group.Save();
            return true;
        }
    }
}

 

转载于:https://www.cnblogs.com/firadio/p/6365804.html

weixin_30477797
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
编写.bat脚本阻止EasyConnect在桌面创建快捷方式
AKGWSB 's blog
04-22 4772
学校上网课需要用到EasyConnect连校内网,可是这个软件总是要在运行时在桌面创建一个快捷方式,而我是习惯用文件夹来整理快捷方式的,而且无法通过设置来关闭这个选项,而我又懒得去改他.exe的源文件了,这使得用户非常老火 于是我写了一个.bat脚本,在他启动后10秒钟删除桌面的快捷方式 编写一个 txt,之后把他的后缀名改为 .bat 即可 第一行是 start + 是easyconnect的快...
windows 来宾权限设置
05-03
例如,你可以取消Users组对Outlook Express文件夹的读取和运行权限,从而阻止他们运行该程序。 - 如果需要解除限制,可以重新为文件文件夹添加用户或组,并赋予适当的访问权限。 2. **启用“不要运行指定的...
批处理文件权限修改
02-20
批处理的能够批量修改文件夹的权限,对于服务器需要大量修改文件夹访问权限的人来说很有用
centos 安装 Jira+Bitbucket
weixin_34272308的博客
12-27 3235
环境: centos7 jira-7.2.6 bitbucket-4.12.1 Jira 是什么,既然你能找到这篇文章,那么就假定你知道,或者大概了解。如果不了解,那么还需要你自己多动手,我这里就不科普了。 我这里只记录下我安装遇到的问题,跟一些心得。 Jira在不同的平台有相应的版本(linux(mac)/windows...
工控安全职业证书技能实践:系统账户安全权限配置实战.docx
07-09
5. **限制SSH访问**:通过`AllowUsers`或`DenyUsers`在`sshd_config`文件中设置允许或禁止特定IP的SSH访问。 6. **更改默认端口**:修改`Port`选项,将SSH服务监听的端口由默认的22更改为其他端口,以减少被扫描的...
Windows7操作系统NTFS的权限分析与实际应用NT6
11-28
在单机环境下,用户和组的管理相对简单,而活动目录域中的域本地组、全局组、通用组及其嵌套则提供了更复杂精细的权限控制。 在Windows 7中,有一些特殊的内置用户和组具有特定的功能定位: 1. Administrator:超级...
WINDOWSxp多个用户权限设置[归类].pdf
10-12
首先,将用户从“Users”组中移除,然后将其添加到“Power Users”组,这样用户将获得类似标准账户的权限,能够执行更多的操作,比如安装软件。 4. **文件文件权限设置**: - 使用NTFS文件系统的电脑,可以为...
svn权限控制手册[借鉴].pdf
10-12
在Subversion的权限控制中,有三个关键的配置文件:`passwd`、`authz` 和 `svnserve.conf`,这些文件位于仓库的 `conf` 目录下,用于管理用户账户、权限和访问控制。 `passwd` 文件是存储用户账户和密码的地方。...
linux中添加新用户出现的一些问题记录
qq_51069335的博客
05-15 381
今天用useradd和adduser出现了一些问题。问题如下: 1.使用useradd +用户名添加了一个用户并且使用该用户登录后不能切换到同组其他用户。 解决方法如下: 在/etc目录下有一个sudoers文件,里面记录的是哪些用户可以使用root权限,用ls -la sudoers查看其文件属性可以看到其属性为:-r--r----- 1 root root 781 5月 15 15:11 sudoers,所有者与所属组都是root,只能读,那么用sudo su 切换为root用户,再用chmod 666
linux 无法增加用户,Linux无法添加用户帐号的原因分析
weixin_42413747的博客
04-28 1473
1.出现问题:近日配置linux服务器,在使用useradd命令添加帐号的时候出现“unable to lock password file”的错误,或者“cannot lock shadow password file”的问题。useradd: unable to lock password file2.解決方法:在/etc/目錄下會有passwd.lock、group.lock、gshadow...
linux下文件权限的屏蔽
hilaochen的专栏
10-20 3890
linux下的umask命令设置文件权限的屏蔽,  umask [-S]  [权限屏蔽] 所谓权限屏蔽室友4个八进制数字组成,这4个八进制数字会被用来决定新产生文件的访问权限。umask命令的设置值就是不希望新产生的文件权限被开放。一般而言系统默认新建文件的访问权限是0666,新建目录的默认权限是0777.而这个访问权限减去umask设置值就是新建文件的真正的访问权限。例如: 将umask值设为
微软用户服务器ldap,修改用户无法 (LDAP 提供程序更改密码)
weixin_31130435的博客
08-09 641
修改用户无法 (LDAP 提供程序更改密码)05/31/2018本文内容用户更改自己的密码的能力是可以授予或拒绝的权限。 若要拒绝此权限,请在安全描述符中设置两个 Ace (DACL) 用户对象的 DACL,并使用 ADS _ ACETYPE _ access _ 拒绝的 _ 对象 ace 类型。 一个 ACE 拒绝用户权限,另一个 ACE 拒绝 Everyone 组的权限。 这两个 Ace 都...
svn如何屏蔽/忽略不需要版本控制的文件
yangtongwang123456的专栏
04-04 4262
"在Xcode中Commit的时候UserInterfaceState.xcuserstate这个文件频繁更新,让人非常困惑." 查网上资料,"大部分说在 Versions 的配置文件 ~/.subversion/config 中通过设置global-ignores忽略对 xcuserstate 类型文件的版本控制",但是我设置了就是不管用.最后查阅svn官方文档得到屏蔽版本控制的方
vba excel获取目录下的所有文件
最新发布
06-09
以下是 VBA Excel 获取目录下的所有文件的代码: ```vb Sub GetFilesInFolder() Dim MyFolder As String Dim MyFile As String Dim i As Integer MyFolder = "C:\Users\UserName\Documents\TestFolder\" '...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值