Является ли стандартной практикой создание профиля пользователя «Документы и настройки» и «Локальные настройки» только для чтения и скрытого доступа?

Question

Является ли обычной практикой создание профиля пользователя "Документы и настройки и локальные настройки" "Только для чтения" и "Скрытый", например, с точки зрения системного администратора? По моему опыту, это редко, однако я работаю с очень специфическим набором пользователей / сред. Любое понимание приветствуется.

Я видел это ОДНАЖДЫ в моей жизни, и пользователь не уверен, почему Администратор Sys сделал это (по иронии судьбы, он / она больше не Администратор Sys). Какой смысл делать appdata полностью доступной только для чтения? Это означало бы, что любая программа, которая профилирует данные о пользователях в appdata (LOTS программного обеспечения работает подобным образом), программное обеспечение не сможет использовать (возможно, полностью разрушив).

Можно ли с уверенностью сказать, что создание каталогов профилей пользователей только для чтения - полная ошибка?

Answer 1

Не на самом деле нет. Сокрытие действительно не поможет вам, если вы не измените его на нестандартный путь (который является PITA, чтобы сделать правильный путь).

Даже если вы измените его на нестандартный путь, даже самые заблокированные пользователи, вероятно, смогут найти путь путем небольшого исследования.

Если ваши списки ACL для файловой системы настроены правильно, то пользователь мало что может сделать с знаниями о существовании и местонахождении этого каталога.

Бездействие с атрибутами «только для чтения» и «скрытый» - это почти полная трата времени с точки зрения безопасности. ACL файловой системы - это то, что следует использовать для безопасности.

Answer 2

В Windows атрибут "только чтение" для папок НЕ означает "только чтение" в обычном смысле. Я думаю, что все папки оболочки, определенные в Windows, имеют этот атрибут. Кроме того, в Vista папка "AppData" в каждом профиле пользователя по умолчанию имеет атрибут "скрытый". В чем дело в XP, так это в том, что я не знаю, но не думаю, что все будет иначе.

Answer 3

То, что вы описываете, является нормальным поведением для Windows Vista и Windows 7.

На самом деле происходит то, что большинство "старых папок" (из-за отсутствия лучшего термина) SYMLINKed в их новые местоположения, а затем устанавливаются как Hidden и Read Only. Например, старая папка C:\Documents and Settings теперь называется SYMLINK для C:\Users . C:\D&S\Username\Local Settings теперь указывает на ~\AppData\Local . Ниже приведен полный список из них, в частности, в папке User:

Application Data [C:\Users\User\AppData\Roaming]
Cookies          [C:\Users\User\AppData\Roaming\Microsoft\Windows\Cookies]
Local Settings   [C:\Users\User\AppData\Local]
My Documents     [C:\Users\User\Documents]
NetHood          [C:\Users\User\AppData\Roaming\Microsoft\Windows\Network Shortcuts]
PrintHood        [C:\Users\User\AppData\Roaming\Microsoft\Windows\Printer Shortcuts]
Recent           [C:\Users\User\AppData\Roaming\Microsoft\Windows\Recent]
SendTo           [C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo]
Start Menu       [C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu]
Templates        [C:\Users\User\AppData\Roaming\Microsoft\Windows\Templates]

Также этот вопрос описывает, как найти все символические ссылки с помощью командной строки (DIR /a:s /s)

Хотя эти папки действительно существуют, если вы попытаетесь просмотреть их, они будут постоянно показывать сообщения об Access Denied . Правильный способ навигации - перейти к папкам, с которыми они на самом деле связаны.