Vie secrète de Windows : Masquer au vu et au su de tous

Certaines politiques font exactement ce qu'ils disent ils vont le faire, ni plus ni moins. Si vous définissez une stratégie en espérant qu'elle fasse autre chose, vous courez à l'échec.

Raymond Chen

La politique pour masquer les lecteurs dans poste de travail est simplement une politique visant à masquer les lecteurs dans le dossier poste de travail. Il n'a pas prévu de bloquer tous les accès au disque de n'importe où. Windows 95, depuis une politique visant à masquer les lecteurs dans le dossier poste de travail dans l'Explorateur Windows. Peut-être sans surprise, ça s'appelle « Masquer ces lecteurs spécifiés dans mon ordinateur. »

Malgré le nom de la politique en déclarant qu'il cache des lecteurs dans poste de travail, beaucoup pensent que cette politique est plus qu'il dit. Certains pensent qu'il peut empêcher l'accès à quoi que ce soit sur le lecteur de toute interface utilisateur fournie par Windows Explorer ou tout autre composant de Windows. D'autres pensent qu'il empêche l'accès à quoi que ce soit sur le disque par quelque moyen que ce soit.

Permettez-moi de répéter : Cette politique masque les lecteurs dans poste de travail. Cela inclut Regarde un poste de travail via l'Explorateur Windows, ou Regarde un poste de travail via une boîte de dialogue Ouvrir. C'est tout.

Un vœu pieux

Un client de définie cette stratégie qui a l'intention de bloquer l'accès à C: en voiture, puis utilisateurs réalisés pourraient encore la chance de ce lecteur. Les utilisateurs simplement clic droit sur un raccourci vers un programme sur le C: en voiture, vu ses propriétés, puis cliqué sur le bouton Open File Location pour afficher le dossier qui contient la cible du raccourci, même si la cible du raccourci résidait sur le C: M: Ensuite, ils pourraient utiliser Windows Explorer pour naviguer dans l'arborescence de répertoire pour atteindre la racine du lecteur c: conduire parce que la politique n'essaie pas de bloquer dans cette affaire.

Ce qui n'empêche la politique est utilisateurs ouvrant poste de travail et en cliquant sur le C: M: Si elles peuvent trouver une autre façon d'obtenir à la racine du lecteur c: en voiture, puis plus de puissance pour eux. La politique n'est pas un contournement de la stratégie de groupe pour masquer le lecteur dans poste de travail. La politique a fait exactement ce qu'il dit qu'il serait : Il cacha le lecteur dans poste de travail. Il n'y n'avait aucune dérivation où l'utilisateur trouvé quelque moyen magique d'obtenir le dossier C: lecteur s'affiche dans poste de travail. La rocade magique a été dans l'imagination de l'administrateur de ce que la politique pourrait faire en fait.

Cette politique vise à rendre moins susceptibles que les utilisateurs explorera dans un lecteur que vous auriez plutôt eux ne pas errer dans. Peut-être que vous utiliser ce disque pour les sauvegardes ou quelque autre fonction administrative qui ne devrait pas impliquer vos utilisateurs. Si vous voulez vraiment bloquer l'accès à la route par tous les moyens, vous devez utiliser les mécanismes de sécurité appropriés. Définir la liste de contrôle d'accès (ACL) sur le disque ou le sous-répertoire pour autoriser l'accès uniquement par ceux à qui vous souhaitez accorder l'accès.

Au cours du développement de le Windows XP , nous avons reçu une demande d'un client d'élargir la portée de la politique de "Masquer ces lecteurs spécifiés dans mon ordinateur" pour couvrir d'autres types d'accès aux lecteurs. Nous avons essayé pendant un certain temps, mais il ne fallut pas longtemps avant que nous arrivions à un rapport de bogue d'un autre client corporatif. Plus précisément, il s'appuyait sur le fait que le champ d'application de la politique est très étroite. Sa compagnie a supprimé le dossier C: route de poste de travail, mais toujours voulu le lecteur accessible par d'autres moyens parce qu'ils ont mis le profil de l'utilisateur sur le C: M: Évidemment, vous souhaitez que les utilisateurs pour pouvoir accéder à leurs propres profils.

En effet, si l'Explorateur Windows vraiment bloqué l'accès à C: en voiture, l'utilisateur ne serait capable de faire quoi que ce soit, parce que le dossier C: en voiture, c'est où tous les fichiers de Windows OS traînent. Demander pour l'étendue de la « masquer ces lecteurs spécifiés dans mon ordinateur » à être élargi afin de couvrir tous les accès au disque causerait un utilisateur de ne pas pouvoir accéder à l'ordinateur du tout.

Si tel est le but ultime, il y a une façon beaucoup plus facile d'accomplir cette tâche : Simplement emporter leurs ordinateurs.

Raymond Chen

Raymond Chen Site Web, la vieille nouvelle chose, et livre de même titre (Addison-Wesley, 2007) traitent d'histoire de Windows, Win32 migrateurs et programmation des boîtes aux lettres.

Contenus associés