О Windows из первых рук: Не ищите скрытый смысл

Некоторые политики делают именно то, о чем их говорит их название, не больше и не меньше. Если вы примените политику и понадеетесь, что она будет делать что-то еще, вы что-нибудь испортите.

Раймонд Чен

Политика, которая скрывает диски в папке My Computer, — это просто политика, скрывающая диски в папке My Computer. Она не предназначена для того, чтобы блокировать доступ к дискам отовсюду. Политика, скрывающая диски в папке My Computer для проводника Windows, появилась в Windows 95. Пожалуй, не удивительно, что ее назвали «Hide these specified drives in My Computer» (скрыть выбранные диски из окна My Computer).

Несмотря на название политики, утверждающее, что она скрывает диски в My Computer, многие думают, что политика делает нечто большее. Кое-кто полагает, что она запрещает доступ ко всему, что хранится на диске, из любых пользовательских интерфейсов, предоставляемых проводником Windows и любыми другими компонентами Windows. А кто-то думает, что она вообще запрещает доступ ко всему, что хранится на диске, для любых инструментов.

Позвольте мне еще раз напомнить: эта политика скрывает диски в My Computer. Это делается при просмотре My Computer в проводнике Windows и просмотре My Computer в диалоговом окне File Open. Вот и все.

Мышление, определяемое желаниями

Один из моих клиентов применил эту политику, намереваясь заблокировать доступ к диску C:, но затем понял, что пользователи все равно могут обращаться к этому диску. Пользователи просто щелкали правой кнопкой ярлык программы на диске C: и открывали ее свойства, затем щелкали кнопку Open File Location, чтобы открыть папку программы, на которую указывал ярлык, даже если эта программа располагалась на диске C:. Затем они могли перемещаться по дереву каталогов диска C: в проводнике Windows и достигать его корня, поскольку политика даже не пыталась блокировать доступ в этом случае.

Вот что делает политика: она не позволяет пользователю открыть My Computer и щелкнуть диск C:. Если пользователю удается добраться до корня диска C: каким-то другим способом, то флаг ему в руки. Групповую политику, скрывающую диски в My Computer, невозможно обойти. Политика делала именно то, о чем говорило ее название: скрывала диск в My Computer. Не существовало обходного пути, позволяющего пользователю каким-то волшебным образом показать диск C: в My Computer. Такой волшебный обходной путь был разве что в представлении администратора о том, что в действительности делает политика.

Политика предназначена для того, чтобы сделать менее вероятным то, что пользователи откроют диск, а не для того, чтобы запретить им обращение к диску. Наверняка вы используете этот диск для резервирования или для каких-то еще административных целей, не требующих участия пользователей. Если вы действительно хотите запретить доступ к диску любыми средствами, необходимо задействовать соответствующие защитные механизмы. Настройте список управления доступом (access control list, ACL) для диска или его подкаталогов так, чтобы доступ имели только те, кому вы хотите его предоставить.

При разработке Windows XP мы получили от одного из клиентов пожелание распространить сферу действия политики «Hide these specified drives in My Computer» на любые другие типы обращения к дискам. Мы попробовали было так сделать, но вскоре получили сообщение о «баге» от другого корпоративного пользователя. Он, наоборот, рассчитывал, что сфера действия политики будет весьма узкой. Его компания удалила диск C: из My Computer, но, тем не менее, хотела бы, чтобы диск был доступен для других средств, поскольку поместила на диски C: профили пользователей. Очевидно, вы хотели бы, чтобы пользователи имели доступ к своим собственным профилям.

В самом деле, если бы проводник Windows блокировал доступ к диску C: по-настоящему, пользователи вообще не смогли бы работать, поскольку диск C: — это место, где хранятся все файлы ОС Windows. Выполнение просьбы распространить влияние политики «Hide these specified drives in My Computer» на весь доступ к дискам привело бы к тому, что пользователи вообще не смогли бы обращаться к своим компьютерам.

Если это и есть конечная цель, можно достичь ее гораздо проще: взять и отобрать у них компьютеры.

Раймонд Чен (Raymond Chen) — его веб-сайт и одноименная книга «Old New Thing», вышедшая в издательстве Addison-Wesley в 2007 году, рассказывают об истории Windows, программировании с использованием интерфейса Win32 и кочующих почтовых ящиках.