域控隐藏盘符的设置项
在组策略管理编辑器中,依次打开的用户配置→策略→管理模板→Windows组件→Windows资源管理器,其中有两项:
- 隐藏“我的电脑”中的这些指定的驱动器
- 防止从“我的电脑”访问驱动器
只设置* 第一项 能让盘符在资源管理器窗口中消失,但是仍然可以通过快捷方式的打开文件位置等方式进入到磁盘;同时设置 第二项 *既能够隐藏盘符,也能避免用户通过其他方式直接在资源管理器中访问磁盘。
系统默认的配置方案
在上述两项的编辑窗口选择启用,发现系统默认都只提供了下面几种方案:
- 仅限制A和B
- 仅限制C
- 仅限制D
- 仅限制ABC
- 仅限制ABCD
- 限制所有磁盘
- 不限制
如果需要限制的盘符组合恰好存在,那么启用选择即可;但一般是不能满足要求的。
添加限制任意磁盘选项的方法
以限制除了E盘之外的所有磁盘为例:
1.复制模板文件
将** C:\Windows\ 路径下面的PolicyDefinitions文件夹拷贝到 C:\Windows\SYSVOL\sysvol\xxx.com\Policies **路径下面(xxx.com是所设置的域网络名称;假设系统盘为C盘);
2.修改模板文件
在** C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions 中找到WindowsExplorer.admx文件,用记事本打开,查找 “NoDrives” **,找到如下代码段:
<policy name="NoDrives" class="User" displayName="$(string.NoDrives)" explainText="$(string.NoDrives_Help)" presentation="$(presentation.NoDrives)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"><parentCategory ref="windows:WindowsExplorer" /><supportedOn ref="windows:SUPPORTED_Win2k" /><elements><enum id="NoDrivesDropdown" valueName="NoDrives" required="true"><item displayName="$(string.ABOnly)"><value><decimal value="3" /></value></item><item displayName="$(string.COnly)"><value><decimal value="4" /></value></item><item displayName="$(string.DOnly)"><value><decimal value="8" /></value></item><item displayName="$(string.ABConly)"><value><decimal value="7" /></value></item><item displayName="$(string.ABCDOnly)"><value><decimal value="15" /></value></item><item displayName="$(string.ALLDrives)"><value><decimal value="67108863" /></value></item><item displayName="$(string.RestNoDrives)"><value><decimal value="0" /></value></item></enum></elements></policy>
在其中添加一段,displayName设为NotE:
<item displayName="$(string.NotE)"><value><decimal value="67108847" /></value></item>
value的计算:
low 26 bits on (1 bit per drive)
可以看出:
| value | value(二进制) | 代表所限制的盘符 |
|---|---|---|
| 3 | 11 | AB |
| 4 | 100 | C |
| 8 | 1000 | D |
| 7 | 111 | ABC |
| 67108863 | 1..1(26个) | ALLDrives |
即,用26位二进制数字代表26个盘符的组合:
- 最低位代表A,最高位代表Z;
- 每一位代表一个盘符,为1代表限制这个盘符,为0代表不限制
所以,要设置仅允许访问E盘,也就是限制除了E之外的所有盘符,二进制数应该是:
ZYXWVUTSRQPONMLKJIHGFEDCBA
11 1111 1111 1111 1111 1110 1111
换算为十进制,得到value值应为:67108847
3.最后一步
对于使用中文的系统,在** C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions\zh-CN **中找到WindowsExplorer.adml文件,同样用记事本打开,找到如下stringtable代码段:
<stringTable><string id="ABCDOnly">仅限制驱动器 A、B、C 和 D</string><string id="ABConly">仅限制驱动器 A、B 和 C</string><string id="ABOnly">仅限制驱动器 A 和 B</string><string id="ALLDrives">限制所有驱动器</string><string id="ClassicShell">启用经典外观</string><string id="ClassicShell_Help">此设置允许管理员将特定的 Windows Shell 行为还原到经典外观行为。
在其中添加一句:
<string id="NotE">限制除E外所有驱动器</string>
最后,去隐藏“我的电脑”中的这些指定的驱动器和防止从“我的电脑”访问驱动器中选择启用刚刚增加的** 限制除E外所有驱动器 **即可。