Можно ли с помощью груповых политик (доменных или локальных) запретить группе пользователей доступ к CD-ROM?

В XP можно запретить доступ к сдром всем, кроме администраторов, но работает ли это в 2к - неизвестно.
позднее исправление от hasherfrog: Только по сети. См примечания ниже по теме

[s]Исправлено: hasherfrog, 13:45 13-04-2004[/s]

А зачем так хитро? Почему это не сделать через апплет "Доступ" по правой мыши на CD_ROMe?

А как в ХР?

Добавлено:

Апплет Доступ действует для доступа по сети. А надо и для юзеров непосредственно работающих на компе.

Guest
Да, для 2k тоже должно работать
PS. Я очень надеюсь, что не ошибся в переводе.
PSS. Я очень Вас прошу, не пропадайте после того, как попробуете данный рецепт. Если получится/не получится, в любом случае - сообщите, плз.

К сожалению данный способ не работает. И насколько я понял перевод, ключ AllocateCDRoms вообще отвечает за доступ к административной шаре, напр. D$ . 0 (по умолчанию) - доступ только админам, 1 -доступ только тому юзеру который локально залогинился. Ключ AllocateDASD - почти тоже только ко всем съемным устройствам. :(

Нашел кое-что здесь. Но тоже не удобно. Даже если через GPO одной группе пользователей один ключ прописать (на отключение), а другой группе - другой, все равно перегружаться надо для применения параметров. Это не серьезно. Хотелось бы без извратов, но наверное пока это невозможно.

Да, я сам проверил, указанные мной ключи блокруют совсем другое - это запрет на монтирование сетевых ресурсов. В теме по указанной Вами ссылке описывется уже отчасти обсуждавшийся на этом форуме способ блокировки cdrom. Давайте я их перечислю, чтобы было от чего плясать.
1) Простейшие способы - сказать, что нельзя показывать определенный диск в эксплорере (или запретить на него заходить). За это отвечают два ключа в реестре, они элементарно обходятся пользователем при использовании файлового менеджера, отличного от эксплорера.
2) Удаление устройства из профиля оборудования - данный способ плох тем, что после изменения профиля оборудования нужна перезагрузка. Кроме того, пользователь может просто перегрузить машину в отсутствии системного администратора, и выбрать желаемый профиль. Если же просто отключить устройство в данном профиле, то администратор в случае нужды должен будет сначала включить устройство, перегрузиться, поработать, отключить - перегрузиться.
3) Остановка служб, отвечающих за работу floppy и cdrom. Недостаток тот же - необходима перезагрузка, единственное улучшение состоит в том, что пользователь не сможет самостоятельно запустить службу.
4) Вышеупомянутые ключи - относятся только с сети, в принципе очень важны - но только если мы сначала сможем отключать локальный cdrom.
5) Физическое отключение "нужных" проводков.

Теперь относительно некотоых изысканий, которые я провел.
На сайте www.sysinternals.com есть интересная статья о драйверах в NT. Там сказано, что все драйвера устройств по умолчанию при создании имеют доступ "Все:R/W", и сетуется на то, что это плохо, надо мол только "R". В нашем случае с cdrom надо бы вообще запретить доступ.
С помощью Regmon я постарался отследить, в какой момент происходит монтирование устройств как DosDevices. Оказалось, что очень рано, причем (емнип) от имени SYSTEM. В обшем-то все правильно, поскольку остальным программам/драйверам могут понадобиться уже смонтированные диски. Дальше все стало немного непонятнее. В своей статье Mark Russinovich пишет, что для имеющихся в системе устройств можно с помощью его утилиты WinObj посмотреть ACL. Я посмотрел, даже поизменял. Но вот загвоздка - изменения ACL для CDfs и Device CDROM0 ничего не меняют, кроме доступа к самим объектам (реестра, надо полагать). Сам драйвер исправно обслуживает пользователей и далее, не глядя на ACL. Вторая непонятка состоит в том, что для примонтированной cdfs (т.е. при вставленном диске) менять разрешения вообще нельзя. Третья проблема в том, что после перезагрузки устройства опять создаются с "Все:R/W".

Интересно, что сам Mark Russinovich приводит пример "правильного драйвера" (с исходниками), который шарит в ACL. Но тут же уточняется, что там "функции недокументированные". Остается только недоумевать, почему все так сложно у майкрософтовцев. Может они расчитывали, что драйвера cdrom.sys будут писать третьи фирмы-произволители этих самых cdrom, да и пожадничали при передаче документации? Или дело в другом?
Вообще, включение/отключение cdrom "на ходу" может быть очень болезненным. Если программа, читающая данные с диска, вдруг окажется отрезанной по уровню привилегий, она может "упасть". Если же ошибка произойдет в cdrom.sys, упадет драйвер, а за ним и систему сможет "скривить". Предвижу замечание: так ведь в настоящее время можно вытащить диск - ну и поругается система, ну и что? Не знаю... Короче, понятно, что ничего не понятно.

Ладно, у кого какие предложения еще будут, пишите здесь, обсудим.
А я в третий раз убедился, что нельзя ограничить доступ к локальному cdrom средствами реестра.

PS. Есть еще 6-й способ, имхо. В управлении компом можно скрыть букву диска для cdrom. Но я еще не проверял, нужна ли будет перезагрузка и вообще есть ли в этом смысл.

Я отключаю устройство в диспетчере, пользователь включить не сможет, а я заходя локальным администратором могу и включить. Перезагрузка не требуется, тольок перезайти под другим пользователем.

Интересно. Есть возможность убрать букву у CD-Rom. А так-же можно подключить CD-Rom как папку на любой NTFS том. Раздавать права на эту папку нельзя (я проверил), но ведь можно на весь NTFS том установить. Создать NTFS том минимального размера, раздать на него разрешения и подключить к его папке CD-Rom. Само-собой у CD-Rom убрать букву.Сам пока не пробовал, но

Guest
Интересно... надо попробовать.

Вобщем так работает. Единственное НО. Писать на этот CD наверное нельзя (хотя я не проверял) - буквы то нет. Но в этом случае (для записи) можно последовать примеру  Dennis


Добавлено:

Можно даже не отключать и включать устройство, как советует Dennis, а назначать и убирать букву устройства. P.S. Это для записи на CD

Несколько замечаний по вышеописанному Guest способу скрытия cdrom.
1) Автозагрузка для дисков, спрятанных через монтирование, не проходит (и это есть гуд!), потому что  в ключе HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun бит, соответствующий диску, на который будет монтирование, установлен по умолчанию. Т.е. пользователь не сможет вынуть/вставить диск для запуска "запрещенного" cdrom'а.
2) ИМХО, писальщик Nero работает с устройствами напрямую, ему не нужны буквы дисков и т.д. Т.е. администратор спокойно может пользоваться Nero. У кого стоит Nero и есть свободное время, проверьте и сообщите здесь, пожалуйста.
3) Поскольку писание стандартными методами XP (хоть мы и в форуме 2k, про XP надо упомянуть) на диски будет невозможно (кстати, а невозможно ли?), можно отключить автозагрузку писалки удалением HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ СDBurn

Большой Thanks за Ваши исследования.

Guest
А Вам спасибо за идею :)
Теперь можно запретить пользователя в рабочее время смотреть кино с cdrom. Надо только не забыть про вышеупомянутые ключи, дабы хитроумные пользователи не смогли подключать cdrom'ы соседних машин. А то сетевой трафик резко возрастет :(
PS. Осталось победить проблему со скрытием floppy.
Guest Зарегистрировались бы Вы, что ли?...