Verwenden von Gruppenrichtlinienobjekten zum Ausblenden angegebener Laufwerke


Zusammenfassung


Für Gruppenrichtlinienobjekte gibt es in Windows die Option „Diese angegebenen Datenträger im Fenster ‚Arbeitsplatz‘ ausblenden“, mit der Sie bestimmte Laufwerke ausblenden können. Möglicherweise möchten Sie aber nur einige Laufwerke ausblenden, während der Zugriff auf andere erhalten bleiben soll.


Es gibt sieben verschiedene Optionen, mit denen Sie den Zugriff auf Laufwerke einschränken können. Sie können weitere Einschränkungen hinzufügen, indem Sie die Datei „System.adm“ für die Standarddomänenrichtlinie oder für ein benutzerdefiniertes Gruppenrichtlinienobjekt (Group Policy Object, GPO) ändern. Die sieben Standardmöglichkeiten lauten:
  • Nur Laufwerke A, B, C und D beschränken
  • Nur Laufwerke A, B und C beschränken
  • Nur Laufwerke A und B beschränken
  • Alle Laufwerke einschränken
  • Nur Laufwerk C beschränken
  • Nur Laufwerk D beschränken
  • Laufwerke nicht einschränken
Microsoft empfiehlt nicht, die Datei „System.adm“ zu ändern. Stattdessen sollten Sie eine neue ADM-Datei erstellen und diese in das GPO importieren. Der Grund ist, dass Änderungen an der Datei „system.adm“ möglicherweise überschrieben werden, wenn Microsoft in einem Service Pack eine neue Version dieser Datei veröffentlicht.

Weitere Informationen


Der Standardspeicherort der Datei „System.adm“ für eine Standarddomänenrichtlinie lautet:

%SystemRoot%\Sysvol\Sysvol\NameIhrerDomäne\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm
Der Inhalt dieser Ordner wird durch den Dateireplikationsdienst (File Replication Service, FRS) in der gesamten Domäne repliziert. Beachten Sie, dass der Ordner „Adm“ und sein Inhalt erst dann aufgefüllt werden, wenn die Standarddomänenrichtlinie zum ersten Mal geladen wird.


So nehmen Sie für einen der sieben Standardwerte Änderungen an dieser Richtlinie vor

  1. Starten Sie Microsoft Management Console. Klicken Sie im Menü Konsole auf Snap-In hinzufügen/entfernen.
  2. Fügen Sie das Snap-In "Gruppenrichtlinie" für die Standarddomänenrichtlinie hinzu. Klicken Sie hierzu auf Durchsuchen, wenn Sie zur Auswahl eines Gruppenlinienobjekts (GPO) aufgefordert werden. Das standardmäßige Gruppenrichtlinienobjekt ist „Lokaler Computer“. Sie können auch Gruppenrichtlinienobjekte für andere Domänenpartitionen (insbesondere Organisationseinheiten) hinzufügen.
  3. Öffnen Sie die folgenden Abschnitte: Benutzerkonfiguration, Administrative Vorlagen, Windows-Komponenten und Windows-Explorer.
  4. Klicken Sie auf Diese angegebenen Datenträger im Fenster „Arbeitsplatz“ ausblenden.
  5. Aktivieren Sie das Kontrollkästchen Diese angegebenen Datenträger im Fenster „Arbeitsplatz“ ausblenden.
  6. Klicken Sie auf die entsprechende Option im Dropdownfeld.
Durch diese Einstellungen werden die Symbole für die ausgewählten Festplatten aus „Arbeitsplatz“, Windows-Explorer und „Netzwerkumgebung“ entfernt. Diese Laufwerke werden auch nicht im Dialogfeld „Öffnen“ von Programmen angezeigt.


Diese Richtlinie ist dazu gedacht, bestimmte Laufwerke wie zum Beispiel das Diskettenlaufwerk vor Missbrauch zu schützen. Sie kann auch verwendet werden, um Benutzer dazu anzuweisen, ihre Arbeit auf bestimmten Laufwerken zu speichern.


Um diese Richtlinie zu verwenden, wählen Sie im Dropdownfeld ein Laufwerk oder eine Kombination von Laufwerken aus. Um alle Laufwerke anzuzeigen (also keine Laufwerke auszublenden), deaktivieren Sie die Richtlinie, oder klicken Sie auf die Option Laufwerke nicht einschränken.


Die Richtlinie verhindert nicht, dass Benutzer über andere Programme auf lokale Laufwerke und Netzlaufwerke zugreifen oder dass sie mit dem Datenträgerverwaltungs-Snap-In Merkmale von Laufwerken anzeigen und ändern.


Neben den Standardwerten können Sie weitere Werte verwenden. Sie können eigene benutzerdefinierte Werte hinzufügen, indem Sie die Datei „System.adm“ bearbeiten. Diesen Teil von „System.adm“ können Sie ändern:

POLICY !!NoDrives 
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863
;low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0 (Default)
END ITEMLIST
END PART
END POLICY

[strings]
ABCDOnly="Restrict A, B, C and D drives only"
ABConly="Restrict A, B and C drives only"
ABOnly="Restrict A and B drives only"
ALLDrives="Restrict all drives"
COnly="Restrict C drive only"
DOnly="Restrict D drive only"
RestNoDrives="Do not restrict drives"
Im Abschnitt „[strings]“ wurden die tatsächlichen Werte im Dropdownfeld ersetzt.


Diese Richtlinie zeigt nur angegebene Laufwerke auf dem Clientcomputer an. Der Registrierungsschlüssel, auf den sich diese Richtlinie auswirkt, verwendet eine Dezimalzahl. Diese entspricht einer 26-Bit-Binärzeichenfolge, in der jedes Bit einen Laufwerkbuchstaben darstellt:


11111111111111111111111111
ZYXWVUTSRQPONMLKJIHGFEDCBA
Diese Konfiguration entspricht 67108863 in Dezimalschreibweise und blendet alle Laufwerke aus. Wenn Sie Laufwerk C ausblenden möchten, legen Sie das drittniedrigste Bit auf „1“ fest, und konvertieren Sie die Binärzeichenfolge in eine Dezimalzahl.


Es ist nicht notwendig, eine Option zum Anzeigen aller Laufwerke zu erstellen, da durch Deaktivieren des Kontrollkästchens der gesamte Eintrag „NoDrives“ gelöscht wird und automatisch alle Laufwerke angezeigt werden.


Wenn Sie die Richtlinie so konfigurieren möchten, dass eine andere Kombination von Laufwerken angezeigt wird, erstellen Sie die entsprechende Binärzeichenfolge. Konvertieren Sie sie in eine Dezimalzahl, und fügen Sie zum Abschnitt ITEMLIST einen neuen Eintrag mit einem entsprechenden „[strings]“-Eintrag hinzu. Wenn Sie zum Beispiel die Laufwerke L, M, N und O ausblenden möchten, erstellen Sie die Zeichenfolge


00000000000111100000000000
ZYXWVUTSRQPONMLKJIHGFEDCBA
, und konvertieren Sie sie in eine Dezimalzahl. Diese Binärzeichenfolge wird in die Dezimalzahl 30720 konvertiert. Fügen Sie diese Zeile zum Abschnitt „[strings]“ in der Datei „System.adm“ hinzu:


LMNO_Only="Restrict L, M, N and O drives only"
Fügen Sie diesen Eintrag im oben gezeigten Abschnitt ITEMLIST hinzu, und speichern Sie die Datei „System.adm“.


NAME !!LMNO_Only VALUE NUMERIC 30720
Dadurch wird im Dropdownfeld ein achter Eintrag erstellt, mit dem nur die Laufwerke L, M, N und O ausgeblendet werden. Verwenden Sie diese Methode, um weitere Werte in das Dropdownfeld aufzunehmen. Der geänderte Abschnitt der Datei „System.adm“ sieht so aus:

POLICY !!NoDrives 
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863
;low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0 (Default)
NAME !!LMNO_Only VALUE NUMERIC 30720
END ITEMLIST
END PART
END POLICY

[strings]
ABCDOnly="Restrict A, B, C and D drives only"
ABConly="Restrict A, B and C drives only"
ABOnly="Restrict A and B drives only"
ALLDrives="Restrict all drives"
COnly="Restrict C drive only"
DOnly="Restrict D drive only"
RestNoDrives="Do not restrict drives"
LMNO_Only="Restrict L, M, N and O drives only"
Im Abschnitt „[strings]“ wurden die tatsächlichen Werte im Dropdownfeld ersetzt.


Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

230263 Erstellen benutzerdefinierter MMC-Snap-In-Programme