Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2114188
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-19 23:14:49

出于安全考虑,现在的公司都是不允许用户使用私带的U盘或者光盘在公司电脑中使用。那么有什么方法可以禁止呢?注册表是可以的,但通过组策略同样可以做到,是通过隐藏U盘驱动器来实现的。

Windows组策略对象编辑中,按照用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器下找到隐藏我的电脑中的这些指定的驱动器策略项(仅用来在资源管理器中隐藏指定的驱动器)。双击它,打开如图10-71所示对话框。选择已启用单选项,然后在选择下列组合中的一个列表中选择一种隐藏方案。但是,从这个下拉列表中明显可以看出,它已不再满足现在大磁盘,多分区的现状了,因为这里所列出的盘符最多是D。也就是只有CD两个分区。这显然是不够的,U盘和光驱的盘符一般不会是这两个盘符。所以直接通过组策略来实现对U盘和光驱的访问限制是不行的了,这时我们就要利用本章前面介绍的系统管理模板文件system.adm中,用于限制驱动器的模板代码了。但建议不要直接编辑、更改System.adm文件,而要创建一个新的.adm文件,然后再将这个.adm文件导入到对应GPO管理模板文件夹中。那是因为,如果您要对system.adm文件修改后在更新了SP补丁后,该文件又会被新版本的 system.adm文件所覆盖。

现在以在域级别下新建并链接一个名为禁止U盘和光驱策略”GPO为例进行介绍。下面是具体的配置步骤。

10-71 默认组策略编辑器下的隐藏我的电脑中的这些指定的驱动器策略项

10-72 隐藏我的电脑中的这些指定的驱动器属性对话框设置选项卡

1)在inf目录下的系统管理模板文件system.adm,用记事本程序打开它。找到NoDrives”的两段策略模板,如下所示。这两段都是以“POLICY !!”开始,以“END POLICY”结束。这两段分别是专门用来配置在资源管理器中隐藏指定盘符的驱动器和在资源管理器中禁止访问的驱动器。通常对于一般用户来说,仅有第一个隐藏驱动器策略就可以了,但对于一些高级用户则最好是同时禁止访问指定的驱动器。复制它,放在另一个记事本页面中。然后进行下面的编辑(直接采用一般无法达到自己的目的)。

POLICY !!NoDrives

              EXPLAIN !!NoDrives_Help

                     PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

                            VALUENAME "NoDrives"

                            ITEMLIST

                                   NAME !!ABOnly           VALUE NUMERIC      3 

                                   NAME !!COnly            VALUE NUMERIC       4

                                   NAME !!DOnly            VALUE NUMERIC      8

                                   NAME !!ABConly          VALUE NUMERIC      7

                                   NAME !!ABCDOnly         VALUE NUMERIC     15

                                   NAME !!ALLDrives        VALUE NUMERIC       67108863 DEFAULT

                                   ; low 26 bits on (1 bit per drive)

                                   NAME !!RestNoDrives     VALUE NUMERIC 0

                            END ITEMLIST

                     END PART

              END POLICY

 

              POLICY !!NoViewOnDrive

                     EXPLAIN !!NoViewOnDrive_Help

                     PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

                            VALUENAME "NoViewOnDrive"

                            ITEMLIST

                                   NAME !!ABOnly           VALUE NUMERIC      3

                                   NAME !!COnly            VALUE NUMERIC       4

                                   NAME !!DOnly            VALUE NUMERIC      8

                                   NAME !!ABConly          VALUE NUMERIC      7

                                   NAME !!ABCDOnly         VALUE NUMERIC     15

                                   NAME !!ALLDrives        VALUE NUMERIC       67108863 DEFAULT

                                   ; low 26 bits on (1 bit per drive)

                                   NAME !!RestNoDrives     VALUE NUMERIC 0

                            END ITEMLIST

                     END PART

END POLICY              

2)原始代码中“ITEMLIST”下的7个列表项如下:

NAME !!ABOnly           VALUE NUMERIC      3 

                                   NAME !!COnly            VALUE NUMERIC       4

                                   NAME !!DOnly            VALUE NUMERIC      8

                                   NAME !!ABConly          VALUE NUMERIC      7

                                   NAME !!ABCDOnly         VALUE NUMERIC     15

                                   NAME !!ALLDrives        VALUE NUMERIC       67108863 DEFAULT

                                   ; low 26 bits on (1 bit per drive)

                                   NAME !!RestNoDrives     VALUE NUMERIC 0

其中的“; low 26 bits on (1 bit per drive)”是一个注释行,表示,驱动盘符是由26位二进制组成的(代表26个盘符字母),每1位代表一个驱动器盘符。转换成十进制就为:A=1B=2C=4D=8E=16F=32G=64H=128I=256,由低到高,以此类推。原始代码中的ABOnly”就相当于要同际隐藏AB两个驱动器,它的取值就是这两个驱动器值的和(1+2=3);同理“ABCDOnly”项的取值就相当于ABCD四个盘符取值的总和(1+2+4+8=15),……,与原始代码后面的“VALUE NUMERIC”值是一致的。如果值为0,表示不限制。现编辑以上策略代码。在编辑时一定要对这两个策略项同时,而且致修改。

现假如系统中的硬盘和软驱盘符最大为GH为光驱,IU盘。现要对HI盘的盘符进行隐藏。则只需在以下两段代码中“ITEMLIST”(项目列表)的“NAME !!ABCDOnly    VALUE NUMERIC 15”行下面分别插入以下一行内容即可:

NAME !!HIOnly    VALUE NUMERIC     384

这样一来,以上两个策略的完整代码中的“ITEMLIST”段内容都为:

NAME !!ABOnly           VALUE NUMERIC      3 

                                   NAME !!COnly            VALUE NUMERIC       4

                                   NAME !!DOnly            VALUE NUMERIC      8

                                   NAME !!ABConly          VALUE NUMERIC      7

                                   NAME !!ABCDOnly         VALUE NUMERIC     15

                        NAME !!HIOnly             VALUE NUMERIC    384

                                   NAME !!ALLDrives        VALUE NUMERIC       67108863 DEFAULT

                                   ; low 26 bits on (1 bit per drive)

                                   NAME !!RestNoDrives     VALUE NUMERIC 0

【经验之谈】在驱动隐藏中,当然可以设置隐藏非连续的驱动器。如只需要隐藏DF盘,则可以添加这样一行(取值是对应驱动器值相加即可):

NAME !!DFOnly     VALUE NUMERIC   40

3)对上面代码中的所有关键字进行说明,这些都可以在system.adm后面的[strings]部分找到。新加的代码行也要在[srings]部分作出解释,如:NAME!!HIOnly=“仅限制驱动器HI”。当然在[Srings]部分各关键字说明可以自定义,也可以直接从systrem.adm管理模板中复制(以下为直接复制的结果)

完整的代码如下:

CLASS USER

CATEGORY !!Window***plorer

              #if version >= 4

              EXPLAIN !!Window***plorer_Help

              #endif

 

 

              KEYNAME "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"

 

POLICY !!NoDrives

                    

                        EXPLAIN !!NoDrives_Help

                     PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

                            VALUENAME "NoDrives"

                            ITEMLIST

                                   NAME !!ABOnly           VALUE NUMERIC      3

                                   NAME !!COnly            VALUE NUMERIC       4

                                   NAME !!DOnly            VALUE NUMERIC      8

                                   NAME !!ABConly          VALUE NUMERIC      7

                                   NAME !!ABCDOnly         VALUE NUMERIC     15

                                        NAME !!HIOnly           VALUE NUMERIC       384

                                   NAME !!ALLDrives        VALUE NUMERIC       67108863 DEFAULT

                                       

                                   ; low 26 bits on (1 bit per drive)

                                   NAME !!RestNoDrives     VALUE NUMERIC 0

                            END ITEMLIST

                     END PART

              END POLICY

 

              POLICY !!NoViewOnDrive

                     EXPLAIN !!NoViewOnDrive_Help

                     PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED

                            VALUENAME "NoViewOnDrive"

                            ITEMLIST

                                   NAME !!ABOnly           VALUE NUMERIC      3

                                   NAME !!COnly            VALUE NUMERIC       4

                                   NAME !!DOnly            VALUE NUMERIC      8

                                   NAME !!ABConly          VALUE NUMERIC      7

                                   NAME !!ABCDOnly         VALUE NUMERIC     15

                                        NAME !!HIOnly           VALUE NUMERIC       384

                                   NAME !!ALLDrives        VALUE NUMERIC       67108863 DEFAULT

                                        

                                   ; low 26 bits on (1 bit per drive)

                                   NAME !!RestNoDrives     VALUE NUMERIC 0

                            END ITEMLIST

                     END PART

              END POLICY

 

END CATEGORY ;; Window***plorer

 

[strings]

HIOnly="仅限制驱动器 HI"

ABCDOnly="仅限制驱动器 ABCD"

ABConly="仅限制驱动器 ABC"

DOnly="仅限制驱动器 D"

COnly="仅限制驱动器 C"

ABOnly="仅限制驱动器 AB"

ALLDrives="限制全部驱动器"

RestNoDrives="全部驱动器不限制"

Window***plorer="Windows 资源管理器"

Window***plorer_Help="管理 Windows 资源管理器设置。这包括外壳属性,文件夹选项,文件菜单,和可用的驱动器。"

NoDrives="隐藏我的电脑中的这些指定的驱动器"

NoDrivesDropdown="选择下列组合中的一个"

NoDrives_Help="从我的电脑和 Windows 资源管理器上删除代表所选硬件驱动器的图标。 并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。\n\n要使用这项策略,请从下拉列表上选择一个驱动器或几个驱动器。要显示所有驱动器,请禁用这项策略或从下拉列表中选择不限制驱动器选项。\n\n注意: 这项策略删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容,如: 通过在映射网络驱动器对话框、运行对话框或命令窗口上键入一个驱动器的目录路径。\n\n同时,此策略不会防止用户使用程序访问这些驱动器或其内容,也不会防止用户使用磁盘管理管理单元查看并更改驱动器特性。\n\n请参阅防止从我的电脑访问驱动器策略。\n\n注意: 对于有 Windows 2000 或更新版本的证明的第三方应用程序,要求附加此设置。"

NoViewOnDrive_Help="防止用户使用我的电脑访问所选驱动器的内容。\n\n如果您启用了这项设置,用户可以浏览在我的电脑或 Windows 资源管理器中所选择的目录结构,但是不能打开文件夹或访问其中的内容。同时,他们也无法使用运行对话框或映射网络驱动器对话框来查看在这些驱动器上的目录。\n\n要利用这些设置,请从下拉列表中选择一个驱动器或几个驱动器。要允许访问所有驱动器目录,请禁用这项设置或从下拉列表中选择不限制驱动器选项。\n\n注意: 这些代表指定驱动器的图标仍旧会出现在我的电脑中,但是如果用户双击图标,会出现一个消息解释设置防止这一操作。\n\n同时这以设置不会防止用户使用程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。\n\n还可参阅在我的电脑中隐藏这些指定的驱动器设置。"

NoViewOnDrive="防止从我的电脑访问驱动器"

最后在记事本程序中driveslimited.adm文件名保存。

4)打开前面在域级别下新建并链接的“U盘和光驱策略”GPO,找到用户配置管理模板项,单击右键,在弹出菜单中选择添加/删除模板选项,打开如图10-73所示对话框。默认只有五个标准模板文件。

10-73 五个标准的管理模板文件

5)单击添加按钮,打开如图10-74所示对话框。在其中找到刚才新建的driveslimted.adm管理模板文件。单击打开按钮,返回到图10-73所示对话框。此时已添加了新的管理模板driveslimted了,如图10-75所示。


10-74 选择新的管理模板文件对话框


10-75 添加了新管理模板文件后的添加/删除模板对话框

6)单击关闭按钮,如果在新建的管理模板文件中有些关键字没有在[strings]部分加以说明,则会出现如图10-76所示错误提示。在提示中显示了当前检测到没有定义的关键字,但不会显示全部,只要检测到一个没有定义就停止向下检测了。

如果没有问题,则可以在“Windows组件下的“Windows资源管理器项下面见到两个策略项,如图10-77所示。

10-76 没有对关键字进行说明时的错误提示


10-77 亲添加的两个策略项

7)双击隐藏我的电脑中这些指定的驱动器策略项,打开如图10-78所示对话框。双击防止从我的电脑访问驱动器策略项,打开如图10-79所示对话框。在两个对话框中的选择下列组合中的一个列表中可以见到新添加的选项仅限制驱动器HI”选项。选择它后,分别单击确定按钮即使这两个策略分别实现在资源管理器上隐藏HI盘,和在资源管理器中访问HI盘的目的。也就是光驱和U盘通常所使用的盘符了。

通过以上步骤就实现了对光驱和U盘的隐藏和禁止访问了。

 

10-78 “隐藏我的电脑中这些指定的驱动器策略属性对话框设置选项卡 

10-79 “防止从我的电脑访问驱动器策略属性对话框

有关组策略的应用就介绍至此,有关组策略的其他基础知识方面,大家可以看一下操作系统帮助。

 

本文摘自《(中小型企业网络组建、配置与管理)》第十章

阅读(1494) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~