标签:
在组策略管理编辑器
中,依次打开的用户配置→策略→管理模板→Windows组件→Windows资源管理器,其中有两项:
只设置* 第一项 能让盘符在资源管理器窗口中消失,但是仍然可以通过快捷方式的打开文件位置等方式进入到磁盘;同时设置 第二项 *既能够隐藏盘符,也能避免用户通过其他方式直接在资源管理器中访问磁盘。
在上述两项的编辑窗口选择启用,发现系统默认都只提供了下面几种方案:
如果需要限制的盘符组合恰好存在,那么启用选择即可;但一般是不能满足要求的。
以限制除了E盘之外的所有磁盘为例:
1.复制模板文件
将** C:\Windows\ 路径下面的PolicyDefinitions
文件夹拷贝到 C:\Windows\SYSVOL\sysvol\xxx.com\Policies **路径下面(xxx.com是所设置的域网络名称;假设系统盘为C盘);
2.修改模板文件
在** C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions 中找到WindowsExplorer.admx
文件,用记事本打开,查找 “NoDrives” **,找到如下代码段:
<policy name="NoDrives" class="User" displayName="$(string.NoDrives)" explainText="$(string.NoDrives_Help)" presentation="$(presentation.NoDrives)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer">
<parentCategory ref="windows:WindowsExplorer" />
<supportedOn ref="windows:SUPPORTED_Win2k" />
<elements>
<enum id="NoDrivesDropdown" valueName="NoDrives" required="true">
<item displayName="$(string.ABOnly)">
<value>
<decimal value="3" />
</value>
</item>
<item displayName="$(string.COnly)">
<value>
<decimal value="4" />
</value>
</item>
<item displayName="$(string.DOnly)">
<value>
<decimal value="8" />
</value>
</item>
<item displayName="$(string.ABConly)">
<value>
<decimal value="7" />
</value>
</item>
<item displayName="$(string.ABCDOnly)">
<value>
<decimal value="15" />
</value>
</item>
<item displayName="$(string.ALLDrives)">
<value>
<decimal value="67108863" />
</value>
</item>
<item displayName="$(string.RestNoDrives)">
<value>
<decimal value="0" />
</value>
</item>
</enum>
</elements>
</policy>
在其中添加一段,displayName
设为NotE:
<item displayName="$(string.NotE)">
<value>
<decimal value="67108847" />
</value>
</item>
value
的计算:
low 26 bits on (1 bit per drive)
可以看出:
value | value(二进制) | 代表所限制的盘符 |
---|---|---|
3 | 11 | AB |
4 | 100 | C |
8 | 1000 | D |
7 | 111 | ABC |
67108863 | 1..1(26个) | ALLDrives |
即,用26位二进制数字代表26个盘符的组合:
所以,要设置仅允许访问E盘,也就是限制除了E之外的所有盘符,二进制数应该是:
ZYXWVUTSRQPONMLKJIHGFEDCBA
11 1111 1111 1111 1111 1110 1111
换算为十进制,得到value
值应为:67108847
3.最后一步
对于使用中文的系统,在** C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions\zh-CN **中找到WindowsExplorer.adml
文件,同样用记事本打开,找到如下stringtable代码段:
<stringTable>
<string id="ABCDOnly">仅限制驱动器 A、B、C 和 D</string>
<string id="ABConly">仅限制驱动器 A、B 和 C</string>
<string id="ABOnly">仅限制驱动器 A 和 B</string>
<string id="ALLDrives">限制所有驱动器</string>
<string id="ClassicShell">启用经典外观</string>
<string id="ClassicShell_Help">此设置允许管理员将特定的 Windows Shell 行为还原到经典外观行为。
在其中添加一句:
<string id="NotE">限制除E外所有驱动器</string>
最后,去隐藏“我的电脑”中的这些指定的驱动器
和防止从“我的电脑”访问驱动器
中选择启用刚刚增加的** 限制除E外所有驱动器 **即可。
Windows Server 2008 R2控制站点隐藏并限制访问任意盘符的组策略配制方法
标签:
原文地址:http://www.cnblogs.com/Cheng-zi/p/5727700.html