Использование объектов групповой политики для скрытия дисков

Переводы статьи Переводы статьи
Код статьи: 231289 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

С помощью объектов групповой политики можно скрывать на компьютере определенные диски. Но может возникнуть необходимость скрыть лишь некоторые диски, сохранив доступ к другим.

Существует семь параметров по умолчанию, позволяющих ограничить доступ к дискам. Кроме того, можно добавить другие ограничения, изменив файл System.adm для политики домена по умолчанию или для любого пользовательского объекта групповой политики (GPO). В число семи параметров по умолчанию входят:
  • Ограничить доступ только к дискам A, B, C и D
  • Ограничить доступ только к дискам A, B и C
  • Ограничить доступ только к дискам A и B
  • Ограничить доступ ко всем дискам
  • Ограничить доступ только к диску С
  • Ограничить доступ только к диску D
  • Не ограничивать доступ к дискам
Корпорация Майкрософт не рекомендует вносить изменения в файл System.adm; вместо этого рекомендуется создать новый ADM-файл и импортировать его в объект групповой политики (GPO). Причина заключается в том, что если внести изменения в файл system.adm, они могут перезаписаться при установке пакета обновления, в который входит новая версия файла system.adm.

Описание принципов работы с пользовательскими ADM-файлами содержится в документе «Implementing Registry-Based Group Policy for Applications» (Применение групповой политики, использующей реестр, для приложений) на веб-узле корпорации Майкрософт по следующему адресу:
http://download.microsoft.com/download/1/7/2/1725520f-1228-4dff-9c5d-594042475844/rbppaper.doc

Дополнительная информация

Размещение по умолчанию файла System.adm для политики домена по умолчанию:
%SystemRoot%\Sysvol\Sysvol\ваше_доменное_имя\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm
Содержимое данных папок реплицируется в домене посредством службы репликации файлов (FRS). Следует отметить, что папка Adm заполняется содержимым только при первой загрузке политики домена по умолчанию.

Чтобы внести в эту политику изменения, установив одно из семи значений по умолчанию, выполните следующие действия:
  1. Запустите консоль управления (ММС). В меню Консоль выберите команду Добавить или удалить оснастку.
  2. Добавьте оснастку «Групповая политика» для политики домена по умолчанию. Для этого после предложения выбрать объект групповой политики (GPO) нажмите кнопку Обзор. Объектом групповой политики по умолчанию является локальный компьютер. Можно также добавлять объекты групповой политики для других разделов домена (в частности, подразделений).
  3. Откройте следующую папку: Конфигурация пользователя, Административные шаблоны, Компоненты Windows и Проводник.
  4. Выберите Скрыть выбранные диски из окна «Мой компьютер».
  5. Установите флажок Скрыть выбранные диски из окна «Мой компьютер».
  6. Выберите подходящий параметр в раскрывающемся списке.
Данные параметры удаляют значки, представляющие выбранные жесткие диски, из папок «Мой компьютер», «Проводник Windows» и «Сетевое окружение». Кроме того, эти диски не будут отображаться в диалоговом окне «Открыть» всех программ.

Назначение данной политики — защита определенных дисков, в том числе дисковода для дискет, от несанкционированного использования. При помощи этой политики можно также ограничить доступ к дискам, на которые пользователи могут сохранять свою работу.

Для применения политики выберите в раскрывающемся списке диск или несколько дисков. Чтобы отображались все диски (ни одного скрытого), отключите данную политику или выберите параметр Не ограничивать доступ к дискам.

Данная политика не мешает пользователям использовать другие программы для получения доступа к локальным или сетевым дискам, а также просматривать и изменять свойства дисков с помощью оснастки «Управление дисками».

Кроме значений по умолчанию можно также использовать и другие значения. Чтобы добавить пользовательские значения, необходимо отредактировать файл System.adm. Изменения следует вносить в следующий раздел файла System.adm:
POLICY !!NoDrives 
   EXPLAIN !!NoDrives_Help
      PART !!NoDrivesDropdown          DROPDOWNLIST NOSORT REQUIRED
         VALUENAME "NoDrives"
          ITEMLIST
                NAME !!ABOnly           VALUE NUMERIC 3
                NAME !!COnly            VALUE NUMERIC 4
                NAME !!DOnly            VALUE NUMERIC 8
                NAME !!ABConly          VALUE NUMERIC 7
                NAME !!ABCDOnly         VALUE NUMERIC 15
                NAME !!ALLDrives        VALUE NUMERIC 67108863                                                  
                ;low 26 bits on (1 bit per drive)
                NAME !!RestNoDrives     VALUE NUMERIC 0 (Default)
          END ITEMLIST
     END PART 
   END POLICY

[strings]
ABCDOnly=«Ограничить доступ только к дискам A, B, C и D»
ABConly=«Ограничить доступ только к дискам A, B и C»
ABOnly=«Ограничить доступ только к дискам A и B»
ALLDrives=«Ограничить доступ ко всем дискам»
COnly=«Ограничить доступ только к диску C»
COnly=«Ограничить доступ только к диску D»
RestNoDrives=«Не ограничивать доступ к дискам»
				
Раздел [strings] заполняется действительными значениями в раскрывающемся списке.

Данная политика отображает только указанные диски на клиентском компьютере. Раздел реестра, связанный с данной политикой, использует десятичное число, соответствующее 26-разрядной двоичной строке, в которой каждый бит представляет букву диска:
11111111111111111111111111
ZYXWVUTSRQPONMLKJIHGFEDCBA
				
Эта конфигурация соответствует числу 67108863 в десятичной системе и скрывает все диски. Чтобы скрыть диск С, установите третий снизу бит в 1, после чего преобразуйте двоичную строку в десятичную.

Нет необходимости создавать параметр для отображения всех дисков, поскольку снятие флажка полностью очищает список скрываемых дисков, то есть все диски отображаются автоматически.

Чтобы настроить политику для отображения другого набора дисков, создайте соответствующую двоичную строку, преобразуйте ее в десятичную и добавьте новый элемент со значением [strings] в раздел ITEMLIST. Например, чтобы скрыть диски L, M, N и O, создайте следующую строку
00000000000111100000000000
ZYXWVUTSRQPONMLKJIHGFEDCBA
				
и преобразуйте ее в десятичную. Данная двоичная строка преобразуется в число 30720 в десятичной системе. Добавьте эту строку в раздел [strings] в файле System.adm:
LMNO_Only=«Ограничить доступ только к дискам L, M, N и O».
				
Добавьте этот элемент в раздел ITEMLIST выше и сохраните файл System.adm.
NAME !!LMNO_Only         VALUE NUMERIC 30720.
				
При этом будет создан восьмой элемент раскрывающегося списка, который скрывает только диски L, M, N и O. Используйте данный метод для включения в раскрывающийся список других значений. Измененный раздел файла System.adm будет иметь следующий вид:
POLICY !!NoDrives 
   EXPLAIN !!NoDrives_Help
      PART !!NoDrivesDropdown          DROPDOWNLIST NOSORT REQUIRED
         VALUENAME "NoDrives"
          ITEMLIST
                NAME !!ABOnly           VALUE NUMERIC 3
                NAME !!COnly            VALUE NUMERIC 4
                NAME !!DOnly            VALUE NUMERIC 8
                NAME !!ABConly          VALUE NUMERIC 7
                NAME !!ABCDOnly         VALUE NUMERIC 15
                NAME !!ALLDrives        VALUE NUMERIC 67108863                                                  
                ;low 26 bits on (1 bit per drive)
                NAME !!RestNoDrives     VALUE NUMERIC 0 (Default)
                            NAME !!LMNO_Only         VALUE NUMERIC 30720
          END ITEMLIST
     END PART 
   END POLICY

[strings]
ABCDOnly=«Ограничить доступ только к дискам A, B, C и D»
ABConly=«Ограничить доступ только к дискам A, B и C»
ABOnly=«Ограничить доступ только к дискам A и B»
ALLDrives=«Ограничить доступ ко всем дискам»
COnly=«Ограничить доступ только к диску C»
COnly=«Ограничить доступ только к диску D»
RestNoDrives=«Не ограничивать доступ к дискам»
LMNO_Only=«Ограничить доступ только к дискам L, M, N и O»
				
Раздел [strings] заполняется действительными значениями в раскрывающемся списке.

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
230263 Как создавать пользовательские средства MMC при помощи консоли управления (Эта ссылка может указывать на содержимое полностью или частично на английском языке.)

Свойства

Код статьи: 231289 - Последний отзыв: 22 мая 2006 г. - Revision: 4.4
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Операционная система Microsoft Windows 2000 Professional
  • операционная система Microsoft Windows 2000 Server
Ключевые слова: 
kbenv kbinfo KB231289

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com