在Windows 11中限制文件夹访问需通过NTFS权限机制,包括:一、在安全选项卡中拒绝非授权用户权限;二、获取所有权后重置权限;三、禁用继承并清除默认宽松权限;四、用icacls命令行强制设置最小权限。
如果您希望在Windows 11中限制他人访问特定文件夹,防止未授权用户查看、修改或删除其中内容,则需通过NTFS权限机制对文件夹实施访问控制。以下是实现该目标的多种方法:
一、通过安全选项卡设置基本访问限制
此方法适用于快速阻止非指定用户访问文件夹,通过显式拒绝或仅授予最小必要权限来达成限制目的。操作直接、无需所有权变更,适合已具备文件夹控制权的场景。
1、右键点击目标文件夹,选择【属性】。
2、在属性窗口中,切换到【安全】选项卡。
3、点击【编辑】按钮以修改当前权限列表。
4、在权限窗口中,选中不需要访问该文件夹的用户或组(如Everyone、Users),在下方权限列表中勾选“拒绝”列下的完全控制和修改两项。
5、若需保留部分用户访问权,先点击【添加】,输入允许用户的账户名,再为其单独勾选“允许”列中的读取和执行或读取权限。
6、点击【应用】,再点击【确定】保存更改。
二、获取文件夹所有权后重置并收紧权限
当文件夹当前所有者为SYSTEM或其他用户时,您可能无法编辑权限或设置拒绝规则。此时必须先取得所有权,才能彻底清除原有宽松策略并建立严格访问控制。
1、右键目标文件夹,选择【属性】,进入【安全】选项卡,点击【高级】。
2、在高级安全设置窗口顶部,“所有者”字段右侧点击【更改】链接。
3、在“输入要选择的对象名称”框中输入您的登录用户名,点击【检查名称】确认后点击【确定】。
4、勾选替换子容器和对象的所有者,确保所有权递归应用于所有子项。
5、点击【应用】,等待系统完成所有权转移。
6、返回【安全】选项卡,点击【编辑】,移除所有不必要用户或组(如Everyone),仅保留您指定的受信账户,并为其精确配置“允许”权限。
三、禁用继承并清除默认宽松权限
许多文件夹继承自父目录(如C:\Users\用户名)的宽泛权限,例如Users组拥有“修改”权。禁用继承可切断该依赖,使您能从零构建最小权限模型,是实现真正访问限制的关键步骤。
1、右键目标文件夹,进入【属性】→【安全】→【高级】。
2、点击【禁用继承】按钮。
3、在弹出对话框中选择从此对象中删除所有已继承的权限,彻底清除来自上级目录的任何允许或拒绝规则。
4、点击【是】确认删除。
5、点击【添加】,仅添加需要访问的特定用户或组,为其分配读取和执行(只读)或写入(如需编辑)等最小必要权限。
6、确保未勾选“完全控制”或“修改”,除非业务确有强需求。
四、使用icacls命令行强制应用最小权限策略
当图形界面因权限混乱而无法响应,或需批量处理多个敏感文件夹时,icacls工具可绕过UI限制,以管理员身份直接写入强制性拒绝规则,尤其适用于锁定系统级敏感路径。
1、以管理员身份运行Windows终端(PowerShell或CMD)。
2、输入以下命令,将文件夹权限重置为仅允许当前用户完全控制,并显式拒绝其他所有用户访问:
icacls "C:\Your\Folder\Path" /reset /T /C /Q
3、执行拒绝Everyone访问的指令:
icacls "C:\Your\Folder\Path" /deny Everyone:(OI)(CI)F /T /C /Q
4、验证结果,输入:
icacls "C:\Your\Folder\Path"
5、输出中应显示DENY条目覆盖Everyone,且无其他用户具有(F)即完全控制权限。
