Windows Confidential: Versteckt, und doch für jeden sichtbar
Bestimmte Richtlinien tun genau das, was sie sagen sie werden es tun, nicht mehr und nicht weniger. Wenn Sie eine Richtlinie erstellen und hoffen, dass diese auch andere Dinge miterledigt, ist der Fehlschlag programmiert.
Raymond Chen
Die Politik sich Laufwerke im Arbeitsplatz verstecken ist lediglich eine Politik der Laufwerke im Ordner "Arbeitsplatz" ausblenden. Es ist nicht beabsichtigt, alle Zugriff auf das Laufwerk von überall zu blockieren. Seit Windows 95gab es eine Politik der Laufwerke im Ordner "Arbeitsplatz" im Windows-Explorer ausblenden. Vielleicht nicht überraschend, nannte es "Diese angegebenen Laufwerke im Arbeitsplatz ausblenden."
Trotz des Namens von der Politik, die besagt, dass es Laufwerke im Arbeitsplatz versteckt denken viele, dass diese Politik tut mehr, als es sagt. Einige denken, dass es Zugriff auf alles auf das Laufwerk Benutzeroberfläche, Windows Explorer oder eine andere Windows-Komponente verhindern kann. Andere denken, dass sie Zugriff auf alles, was auf dem Laufwerk auf irgendeine Weise verhindert.
Lassen Sie mich wiederholen: Diese Richtlinie blendet die Laufwerke vom Arbeitsplatz starten. Dazu gehören anzeigen Arbeitsplatz über den Windows Explorer oder Arbeitsplatz über ein Dialogfeld Datei öffnen anzeigen. Das war 's.
Wunschdenken
Ein Kunde setzen diese Politik, die beabsichtigen, den Zugriff auf Laufwerk C: Sperren Laufwerk, dann realisierte Benutzer könnte auf dieser Festplatte noch nicht. Der Benutzer geklickt haben einfach eine Verknüpfung zu einem Programm auf Laufwerk C: Laufwerk, dessen Eigenschaften angezeigt, dann Dateispeicherort Öffnen geklickt, um den Ordner mit der Verknüpfung Ziel anzeigen, auch wenn das Ziel der Verknüpfung auf der C: residierte M. Dann konnten sie Windows Explorer verwenden, navigieren Sie auf den Verzeichnisbaum, den Stamm von Laufwerk C: zu erreichen fahren Sie, weil die Politik nicht versuchen, in diesem Fall zu blockieren.
Was die Richtlinie hindert ist Benutzer öffnen Arbeitsplatz, und klicken Sie auf Laufwerk C: M. Wenn sie einen anderen Weg in das Stammverzeichnis von Laufwerk C: zu finden kann Laufwerk, dann mehr Macht zu ihnen. Die Politik ist kein Bypass der Gruppenrichtlinie das Laufwerk im Arbeitsplatz ausblenden. Die Politik hat genau das, was es sagte, es wäre: Sie versteckte das Laufwerk im Arbeitsplatz. Es gab keine Umgehung, wo der Benutzer einige magische Art und Weise des Erhaltens der C: gefunden Laufwerk im Arbeitsplatz auftauchen. Die magische Bypass wurde in der Administrator Vorstellung dessen, was die Politik tatsächlich tun könnte.
Diese Politik soll es unwahrscheinlicher, dass Benutzer in ein Laufwerk, die Sie ihnen nicht untersuchen werden in wandern lieber hätten. Vielleicht verwenden Sie dieses Laufwerk für Sicherungen oder andere administrative Funktion, die Ihre Benutzer betreffen sollte nicht. Wenn Sie wirklich wollen, um Zugriff auf das Laufwerk mit allen Mitteln zu blockieren, müssen Sie die richtigen Sicherheitsmechanismen zu verwenden. Legen Sie die Access Control List (ACL) für das Laufwerk bzw. Unterverzeichnis für den Zugriff nur von denen, denen Sie Zugriff gewähren möchten.
Während der Windows XP Entwicklung erhielten wir eine Anfrage von einem Kunden, der "Diese angegebenen Laufwerke im Arbeitsplatz ausblenden" Politik, die andere Arten von Zugriff auf die Laufwerke zu erweitern. Wir haben es für eine Weile versucht, aber es dauerte nicht lange, bis wir einen Bug-Report von einem anderen Unternehmen Kunden haben. Er wurde speziell unter der Berufung auf die Tatsache, dass der Anwendungsbereich der Richtlinie sehr schmal. Seine Firma entfernt das Laufwerk C: fahren Sie vom Arbeitsplatz, aber noch wollte das Laufwerk zugänglich durch andere Mittel weil sie das Benutzerprofil auf Laufwerk C: M. Sie möchten natürlich Benutzer ihre eigenen Profile zugreifen können.
In der Tat, wenn Windows Explorer wirklich Zugriff auf das Laufwerk C: blockiert Antrieb, der Benutzer würde nicht sein in der Lage, etwas zu tun, weil das Laufwerk C: das Laufwerk ist, wo alle Windows OS-Dateien hängen. Fragen für den Bereich "Diese angegebenen Laufwerke im Arbeitsplatz ausblenden" erweitert werden, um alle Zugriff auf das Laufwerk zu decken, würde zufügen und einen Benutzer Zugriff auf den Computer überhaupt nicht.
Wenn das Endziel ist, gibt es eine viel einfachere Weise, diese Aufgabe: Einfach ihren Computer mitnehmen.
.jpg)
Raymond Chen Web-Site, die alte neue Sache und gleichnamigen Buch (Addison-Wesley, 2007) befassen sich mit der Geschichte von Windows, Win32 Programmierung und wandernde Postfächer.