Windows Server 2008 R2控制站点隐藏并限制访问任意盘符的组策略配制方法

 

域控隐藏盘符的设置项

在组策略管理编辑器中，依次打开的用户配置→策略→管理模板→Windows组件→Windows资源管理器，其中有两项：

1. 隐藏“我的电脑”中的这些指定的驱动器
2. 防止从“我的电脑”访问驱动器

只设置* 第一项 能让盘符在资源管理器窗口中消失，但是仍然可以通过快捷方式的打开文件位置等方式进入到磁盘；同时设置 第二项 *既能够隐藏盘符，也能避免用户通过其他方式直接在资源管理器中访问磁盘。

系统默认的配置方案

在上述两项的编辑窗口选择启用，发现系统默认都只提供了下面几种方案：

• 仅限制A和B
• 仅限制C
• 仅限制D
• 仅限制ABC
• 仅限制ABCD
• 限制所有磁盘
• 不限制

如果需要限制的盘符组合恰好存在，那么启用选择即可；但一般是不能满足要求的。

添加限制任意磁盘选项的方法

以限制除了E盘之外的所有磁盘为例：

1.复制模板文件

将** C:\Windows\ 路径下面的PolicyDefinitions文件夹拷贝到 C:\Windows\SYSVOL\sysvol\xxx.com\Policies **路径下面(xxx.com是所设置的域网络名称；假设系统盘为C盘)；

2.修改模板文件

在** C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions 中找到WindowsExplorer.admx文件，用记事本打开，查找 “NoDrives” 和“NoViewOnDriver”**，找到如下代码段：

1. <policyname="NoDrives"class="User"displayName="$(string.NoDrives)"explainText="$(string.NoDrives_Help)"presentation="$(presentation.NoDrives)"key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer">
2. <parentCategoryref="windows:WindowsExplorer"/>
3. <supportedOnref="windows:SUPPORTED_Win2k"/>
4. <elements>
5. <enumid="NoDrivesDropdown"valueName="NoDrives"required="true">
6. <itemdisplayName="$(string.ABOnly)">
7. <value>
8. <decimalvalue="3"/>
9. </value>
10. </item>
11. <itemdisplayName="$(string.COnly)">
12. <value>
13. <decimalvalue="4"/>
14. </value>
15. </item>
16. <itemdisplayName="$(string.DOnly)">
17. <value>
18. <decimalvalue="8"/>
19. </value>
20. </item>
21. <itemdisplayName="$(string.ABConly)">
22. <value>
23. <decimalvalue="7"/>
24. </value>
25. </item>
26. <itemdisplayName="$(string.ABCDOnly)">
27. <value>
28. <decimalvalue="15"/>
29. </value>
30. </item>
31. <itemdisplayName="$(string.ALLDrives)">
32. <value>
33. <decimalvalue="67108863"/>
34. </value>
35. </item>
36. <itemdisplayName="$(string.RestNoDrives)">
37. <value>
38. <decimalvalue="0"/>
39. </value>
40. </item>
41. </enum>
42. </elements>
43. </policy>

在其中添加一段，displayName设为NotE：

1. <itemdisplayName="$(string.NotE)">
2. <value>
3. <decimalvalue="67108847"/>
4. </value>
5. </item>

value的计算：

low 26 bits on (1 bit per drive)

可以看出：

value	value（二进制）	代表所限制的盘符
3	11	AB
4	100	C
8	1000	D
7	111	ABC
67108863	1..1(26个)	ALLDrives

即，用26位二进制数字代表26个盘符的组合：

• 最低位代表A，最高位代表Z；
• 每一位代表一个盘符，为1代表限制这个盘符，为0代表不限制

所以，要设置仅允许访问E盘，也就是限制除了E之外的所有盘符，二进制数应该是：

ZYXWVUTSRQPONMLKJIHGFEDCBA
11 1111 1111 1111 1111 1110 1111

换算为十进制，得到value值应为：67108847

3.最后一步

对于使用中文的系统，在** C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions\zh-CN **中找到WindowsExplorer.adml文件，同样用记事本打开，找到如下stringtable代码段：

1. <stringTable>
2. <stringid="ABCDOnly">仅限制驱动器 A、B、C 和 D</string>
3. <stringid="ABConly">仅限制驱动器 A、B 和 C</string>
4. <stringid="ABOnly">仅限制驱动器 A 和 B</string>
5. <stringid="ALLDrives">限制所有驱动器</string>
6. <stringid="ClassicShell">启用经典外观</string>
7. <stringid="ClassicShell_Help">此设置允许管理员将特定的 Windows Shell 行为还原到经典外观行为。

在其中添加一句：

1. <stringid="NotE">限制除E外所有驱动器</string>

最后，去隐藏“我的电脑”中的这些指定的驱动器和防止从“我的电脑”访问驱动器中选择启用刚刚增加的** 限制除E外所有驱动器 **即可。

来自为知笔记(Wiz)