Windows Server 2008 R2控制網站隱藏並限制訪問任意盤符的組策略配製方法

標籤：

域控隱藏盤符的設定項

在群組原則管理編輯器中，依次開啟的使用者配置→策略→系統管理範本→Windows組件→Windows資源管理員，其中有兩項：

1. 隱藏“我的電腦”中的這些指定的磁碟機
2. 防止從“我的電腦”訪問磁碟機

只設定* 第一項 能讓盤符在資源管理員視窗中消失，但是仍然可以通過捷徑的開啟檔案位置等方式進入到磁碟；同時設定 第二項 *既能夠隱藏盤符，也能避免使用者通過其他方式直接在資源管理員中訪問磁碟。

系統預設的配置方案

在上述兩項的編輯視窗選擇啟用，發現系統預設都只提供了下面幾種方案：

• 僅限制A和B
• 僅限制C
• 僅限制D
• 僅限制ABC
• 僅限制ABCD
• 限制所有磁碟
• 不限制

如果需要限制的盤符組合恰好存在，那麼啟用選擇即可；但一般是不能滿足要求的。

添加限制任意磁碟選項的方法

以限制除了E盤之外的所有磁碟為例：

1.複製模板檔案

將** C:\Windows\ 路徑下面的PolicyDefinitions檔案夾拷貝到 C:\Windows\SYSVOL\sysvol\xxx.com\Policies **路徑下面(xxx.com是所設定的網域網路名稱；假設系統硬碟為C盤)；

2.修改模板檔案

在** C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions 中找到WindowsExplorer.admx檔案，用記事本開啟，尋找 “NoDrives” **，找到如下程式碼片段：

 

  
<policy name="NoDrives" class="User" displayName="$(string.NoDrives)" explainText="$(string.NoDrives_Help)" presentation="$(presentation.NoDrives)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer">
  
 <parentCategory ref="windows:WindowsExplorer" />
  
 <supportedOn ref="windows:SUPPORTED_Win2k" />
  
 <elements>
  
 <enum id="NoDrivesDropdown" valueName="NoDrives" required="true">
  
 <item displayName="$(string.ABOnly)">
  
 <value>
  
 <decimal value="3" />
  
 </value>
  
 </item>
  
 <item displayName="$(string.COnly)">
  
 <value>
  
 <decimal value="4" />
  
 </value>
  
 </item>
  
 <item displayName="$(string.DOnly)">
  
 <value>
  
 <decimal value="8" />
  
 </value>
  
 </item>
  
 <item displayName="$(string.ABConly)">
  
 <value>
  
 <decimal value="7" />
  
 </value>
  
 </item>
  
 <item displayName="$(string.ABCDOnly)">
  
 <value>
  
 <decimal value="15" />
  
 </value>
  
 </item>
  
 <item displayName="$(string.ALLDrives)">
  
 <value>
  
 <decimal value="67108863" />
  
 </value>
  
 </item>
  
 <item displayName="$(string.RestNoDrives)">
  
 <value>
  
 <decimal value="0" />
  
 </value>
  
 </item>
  
 </enum>
  
 </elements>
  
 </policy>
 

在其中添加一段，displayName設為NotE：

 

  
 <item displayName="$(string.NotE)">
  
 <value>
  
 <decimal value="67108847" />
  
 </value>
  
 </item>
 

value的計算：

low 26 bits on (1 bit per drive)

可以看出：

value	value（二進位）	代表所限制的盤符
3	11	AB
4	100	C
8	1000	D
7	111	ABC
67108863	1..1(26個)	ALLDrives

即，用26位位元字代表26個盤符的組合：

• 最低位代表A，最高位代表Z；
• 每一位代表一個盤符，為1代表限制這個盤符，為0代表不限制

所以，要設定僅允許訪問E盤，也就是限制除了E之外的所有盤符，位元應該是：

ZYXWVUTSRQPONMLKJIHGFEDCBA
11 1111 1111 1111 1111 1110 1111

換算為十進位，得到value值應為：67108847

3.最後一步

對於使用中文的系統，在** C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions\zh-CN **中找到WindowsExplorer.adml檔案，同樣用記事本開啟，找到如下stringtable程式碼片段：

 

  
 <stringTable>
  
 <string id="ABCDOnly">僅限制磁碟機 A、B、C 和 D</string>
  
 <string id="ABConly">僅限制磁碟機 A、B 和 C</string>
  
 <string id="ABOnly">僅限制磁碟機 A 和 B</string>
  
 <string id="ALLDrives">限制所有磁碟機</string>
  
 <string id="ClassicShell">啟用經典外觀</string>
  
 <string id="ClassicShell_Help">此設定允許管理員將特定的 Windows Shell 行為還原到經典外觀行為。
 

在其中添加一句：

 

  
<string id="NotE">限制除E外所有磁碟機</string>
 

最後，去隱藏“我的電腦”中的這些指定的磁碟機和防止從“我的電腦”訪問磁碟機中選擇啟用剛剛增加的** 限制除E外所有磁碟機 **即可。

來自為知筆記(Wiz)

Windows Server 2008 R2控制網站隱藏並限制訪問任意盤符的組策略配製方法