Windows 10 下如何控制共享一台物理主机的用户互相访问对方的文档？

新建标准用户就可以了，人手一个账号。

最好不要分盘符，就一个系统 C 盘，免得使用者把文件放到其他盘符去了。默认存放用户的“文档”文件夹下，标准用户权限的无法访问他人目录。

如果楼主要求是资料要放 “仓库盘”，就建立对应目录给他们，利用 NTFS 权限功能控制。

分别建立 4 个子账户和独立密码，客户文件放在各自账户文件夹中，如果要访问其他账户信息就需要管理员密码。

既然有物理接触的情况，光靠账户权限是不行的，人家 PE 启动一下数据就一览无余。
如果要系统自带的解决方案，除了得每个人一个账户外，需要设置对文档启用 EFS 加密才行，这样才有可能阻止数据被拷贝走。不过使用 EFS 依然不能解决文件名需要保密的问题， PE 启动后需要虽然不能复制或者访问文件内容，但是文件名还是可以看到的。
剩下的备选方案就是，用系统自带的 bitlocker 每个人给他们新建 VHD ，然后对 VHD 分区启用 bitlocker 。
或者使用第三方解决方案，比如 VeraCrypt ， EncfsMP

开启 bitlocker ，为每位 sales 建一个标准用户，文档放在各自用户名的目录下就行了。

1 、每个人一个独立的 VM 虚拟机

2 、瘦客户机
http://baike.so.com/doc/2756466-2909168.html

@titanium98118 我一直以为所有用户是用同个密匙的！学习了

@wevsty 我有想过这个问题，我其实是想直接 VHD 加密后自动挂载，但是公司这种 sales 流动性比较大，经常需要增加用户， windows 10 似乎又没 template 新建标准用户，怕用户量增加了不好维护

@shlabc 因为不是国内公司， terminal server 不管是用哪个 windows server 的正版都太贵了（还要 CAL ）。。我们其他部门系统的确是用 thin client+terminal server 的，但是这个 senario 估计老板不会批

@8e47e42 @titanium98118

这里有几个误区，前面说加账户就行的这个实际上是不对的。因为可以通过 PE 一类无视权限进行拷贝。即使是对系统盘开启 bitlocker 然后再建立标准用户存放数据仍然是不能保证安全的，因为 bitlocker 的密钥一旦共享出去就跟没有加密一样， PE 下面一样可以解开 bitlock 然后无视权限拷贝走数据。
只有每个人一个独立的加密密钥才可以保证安全，账户设置的太多是个麻烦事，其实直接使用 EncfsMP 这样的第三方解决方案是最合适楼主需求的。
EncfsMP 开源产品提供文件级的加密，不需要加密磁盘分区，很适合储存共享空间，并且可以提供文件名加密的功能，有 GUI ，谁来了自己输入密码挂载一下就行了。
最后为什么一定要是 Windows ？
如果没有特殊需求， Linux 可能更适合楼主。简单的文档办公 Linux 是可以胜任的， Encfs 也是可以在 Linux 下面使用的。而且不用考虑 MS 的授权问题。

@wevsty BIOS 可以加锁的， PE 需要你能更改默认的加载顺序

@longaiwp 拆硬盘直接挂到别的机器上呢

@wevsty 哈哈哈因为还要用一些专业性软件，只有 win 下有 license ，所以 Linux 肯定没办法了

@longaiwp 已经加锁并物理锁机箱，但是并没有啥用，都是能徒手掰锁的鬼佬，分分钟掰开机箱拿硬盘哈哈哈哈