分类: 系统运维
2011-10-19 23:14:49
出于安全考虑,现在的公司都是不允许用户使用私带的U盘或者光盘在公司电脑中使用。那么有什么方法可以禁止呢?注册表是可以的,但通过组策略同样可以做到,是通过隐藏U盘驱动器来实现的。
在Windows组策略对象编辑中,按照“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”下找到“隐藏‘我的电脑’中的这些指定的驱动器”策略项(仅用来在资源管理器中隐藏指定的驱动器)。双击它,打开如图10-71所示对话框。选择“已启用”单选项,然后在“选择下列组合中的一个”列表中选择一种隐藏方案。但是,从这个下拉列表中明显可以看出,它已不再满足现在大磁盘,多分区的现状了,因为这里所列出的盘符最多是D。也就是只有C、D两个分区。这显然是不够的,U盘和光驱的盘符一般不会是这两个盘符。所以直接通过组策略来实现对U盘和光驱的访问限制是不行的了,这时我们就要利用本章前面介绍的系统管理模板文件system.adm中,用于限制驱动器的模板代码了。但建议不要直接编辑、更改System.adm文件,而要创建一个新的.adm文件,然后再将这个.adm文件导入到对应GPO的“管理模板”文件夹中。那是因为,如果您要对system.adm文件修改后在更新了SP补丁后,该文件又会被新版本的 system.adm文件所覆盖。
现在以在域级别下新建并链接一个名为“禁止U盘和光驱策略”GPO为例进行介绍。下面是具体的配置步骤。
图10-71 默认组策略编辑器下的“隐藏‘我的电脑’中的这些指定的驱动器”策略项
图10-72 “隐藏‘我的电脑’中的这些指定的驱动器属性”对话框“设置”选项卡
(1)在inf目录下的系统管理模板文件system.adm,用记事本程序打开它。找到“NoDrives”的两段策略模板,如下所示。这两段都是以“POLICY !!”开始,以“END POLICY”结束。这两段分别是专门用来配置在资源管理器中隐藏指定盘符的驱动器和在资源管理器中禁止访问的驱动器。通常对于一般用户来说,仅有第一个隐藏驱动器策略就可以了,但对于一些高级用户则最好是同时禁止访问指定的驱动器。复制它,放在另一个记事本页面中。然后进行下面的编辑(直接采用一般无法达到自己的目的)。
POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
(2)原始代码中“ITEMLIST”下的7个列表项如下:
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
其中的“; low 26 bits on (1 bit per drive)”是一个注释行,表示,驱动盘符是由26位二进制组成的(代表26个盘符字母),每1位代表一个驱动器盘符。转换成十进制就为:A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,以此类推。原始代码中的“ABOnly”就相当于要同际隐藏A、B两个驱动器,它的取值就是这两个驱动器值的和(1+2=3);同理“ABCDOnly”项的取值就相当于A、B、C、D四个盘符取值的总和(1+2+4+8=15),……,与原始代码后面的“VALUE NUMERIC”值是一致的。如果值为0,表示不限制。现编辑以上策略代码。在编辑时一定要对这两个策略项同时,而且致修改。
现假如系统中的硬盘和软驱盘符最大为G,H为光驱,I为U盘。现要对H和I盘的盘符进行隐藏。则只需在以下两段代码中“ITEMLIST”(项目列表)的“NAME !!ABCDOnly VALUE NUMERIC 15”行下面分别插入以下一行内容即可:
NAME !!HIOnly VALUE NUMERIC 384
这样一来,以上两个策略的完整代码中的“ITEMLIST”段内容都为:
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!HIOnly VALUE NUMERIC 384
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
【经验之谈】在驱动隐藏中,当然可以设置隐藏非连续的驱动器。如只需要隐藏D、F盘,则可以添加这样一行(取值是对应驱动器值相加即可):
NAME !!DFOnly VALUE NUMERIC 40
(3)对上面代码中的所有关键字进行说明,这些都可以在system.adm后面的[strings]部分找到。新加的代码行也要在[srings]部分作出解释,如:NAME!!HIOnly=“仅限制驱动器H和I”。当然在[Srings]部分各关键字说明可以自定义,也可以直接从systrem.adm管理模板中复制(以下为直接复制的结果)
完整的代码如下:
CLASS USER
CATEGORY !!Window***plorer
#if version >= 4
EXPLAIN !!Window***plorer_Help
#endif
KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!HIOnly VALUE NUMERIC 384
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!HIOnly VALUE NUMERIC 384
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
END CATEGORY ;; Window***plorer
[strings]
HIOnly="仅限制驱动器 H和I"
ABCDOnly="仅限制驱动器 A、B、C和D"
ABConly="仅限制驱动器 A、B和C"
DOnly="仅限制驱动器 D"
COnly="仅限制驱动器 C"
ABOnly="仅限制驱动器 A和B"
ALLDrives="限制全部驱动器"
RestNoDrives="全部驱动器不限制"
Window***plorer="Windows 资源管理器"
Window***plorer_Help="管理 Windows 资源管理器设置。这包括外壳属性,文件夹选项,文件菜单,和可用的驱动器。"
NoDrives="隐藏“我的电脑”中的这些指定的驱动器"
NoDrivesDropdown="选择下列组合中的一个"
NoDrives_Help="从我的电脑和 Windows 资源管理器上删除代表所选硬件驱动器的图标。 并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。\n\n要使用这项策略,请从下拉列表上选择一个驱动器或几个驱动器。要显示所有驱动器,请禁用这项策略或从下拉列表中选择“不限制驱动器”选项。\n\n注意: 这项策略删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容,如: 通过在映射网络驱动器对话框、运行对话框或命令窗口上键入一个驱动器的目录路径。\n\n同时,此策略不会防止用户使用程序访问这些驱动器或其内容,也不会防止用户使用“磁盘管理”管理单元查看并更改驱动器特性。\n\n请参阅“防止从‘我的电脑’访问驱动器”策略。\n\n注意: 对于有 Windows 2000 或更新版本的证明的第三方应用程序,要求附加此设置。"
NoViewOnDrive_Help="防止用户使用我的电脑访问所选驱动器的内容。\n\n如果您启用了这项设置,用户可以浏览在我的电脑或 Windows 资源管理器中所选择的目录结构,但是不能打开文件夹或访问其中的内容。同时,他们也无法使用运行对话框或映射网络驱动器对话框来查看在这些驱动器上的目录。\n\n要利用这些设置,请从下拉列表中选择一个驱动器或几个驱动器。要允许访问所有驱动器目录,请禁用这项设置或从下拉列表中选择“不限制驱动器”选项。\n\n注意: 这些代表指定驱动器的图标仍旧会出现在我的电脑中,但是如果用户双击图标,会出现一个消息解释设置防止这一操作。\n\n同时这以设置不会防止用户使用程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。\n\n还可参阅“在我的电脑中隐藏这些指定的驱动器”设置。"
NoViewOnDrive="防止从“我的电脑”访问驱动器"
最后在记事本程序中driveslimited.adm文件名保存。
(4)打开前面在域级别下新建并链接的“U盘和光驱策略”GPO,找到“用户配置”下“管理模板”项,单击右键,在弹出菜单中选择“添加/删除模板”选项,打开如图10-73所示对话框。默认只有五个标准模板文件。
图10-73 五个标准的管理模板文件
(5)单击“添加”按钮,打开如图10-74所示对话框。在其中找到刚才新建的driveslimted.adm管理模板文件。单击“打开”按钮,返回到图10-73所示对话框。此时已添加了新的管理模板driveslimted了,如图10-75所示。
图10-74 选择新的管理模板文件对话框
图10-75 添加了新管理模板文件后的“添加/删除模板”对话框
(6)单击“关闭”按钮,如果在新建的管理模板文件中有些关键字没有在[strings]部分加以说明,则会出现如图10-76所示错误提示。在提示中显示了当前检测到没有定义的关键字,但不会显示全部,只要检测到一个没有定义就停止向下检测了。
如果没有问题,则可以在“Windows组件”下的“Windows资源管理器”项下面见到两个策略项,如图10-77所示。
图10-76 没有对关键字进行说明时的错误提示
图10-77 亲添加的两个策略项
(7)双击“隐藏‘我的电脑’中这些指定的驱动器”策略项,打开如图10-78所示对话框。双击“防止从‘我的电脑’访问驱动器”策略项,打开如图10-79所示对话框。在两个对话框中的“选择下列组合中的一个”列表中可以见到新添加的选项“仅限制驱动器H和I”选项。选择它后,分别单击“确定”按钮即使这两个策略分别实现在资源管理器上隐藏H和I盘,和在资源管理器中访问H和I盘的目的。也就是光驱和U盘通常所使用的盘符了。
通过以上步骤就实现了对光驱和U盘的隐藏和禁止访问了。
图10-78 “隐藏‘我的电脑’中这些指定的驱动器”策略属性对话框“设置”选项卡
图10-79 “防止从‘我的电脑’访问驱动器”策略属性对话框
有关组策略的应用就介绍至此,有关组策略的其他基础知识方面,大家可以看一下操作系统帮助。
本文摘自《(中小型企业网络组建、配置与管理)》第十章
