Использование объектов групповой политики для скрытия дисков


Аннотация


С помощью объектов групповой политики в Windows можно скрывать на компьютере определенные диски, воспользовавшись опцией «Скрыть выбранные диски из папки «Мой компьютер». Но может возникнуть необходимость скрыть лишь некоторые диски, сохранив доступ к другим.


Существует семь параметров по умолчанию, позволяющих ограничить доступ к дискам. Кроме того, можно добавить другие ограничения, изменив файл System.adm для политики домена по умолчанию или для любого пользовательского объекта групповой политики (GPO). В число семи параметров по умолчанию входят:
  • Ограничить доступ только к дискам A, B, C и D
  • Ограничить доступ только к дискам A, B и C
  • Ограничить доступ только к дискам A и B
  • Ограничить доступ ко всем дискам
  • Ограничить доступ только к диску С
  • Ограничить доступ только к диску D
  • Не ограничивать доступ к дискам
Корпорация Майкрософт не рекомендует вносить изменения в файл System.adm; вместо этого рекомендуется создать новый ADM-файл и импортировать его в объект групповой политики (GPO). Причина заключается в том, что если внести изменения в файл system.adm, они могут перезаписаться при установке пакета обновления, в который входит новая версия файла system.adm.

Дополнительная информация


Размещение по умолчанию файла System.adm для политики домена по умолчанию:

%SystemRoot%\Sysvol\Sysvol\ваше_доменное_имя\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm
Содержимое данных папок реплицируется в домене посредством службы репликации файлов (FRS). Следует отметить, что папка Adm заполняется содержимым только при первой загрузке политики домена по умолчанию.


Чтобы внести в эту политику изменения, установив одно из семи значений по умолчанию, выполните следующие действия:

  1. Запустите консоль управления (ММС). В меню Консоль выберите команду Добавить или удалить оснастку.
  2. Добавьте оснастку «Групповая политика» для политики домена по умолчанию. Для этого после предложения выбрать объект групповой политики (GPO) нажмите кнопку Обзор. Объектом групповой политики по умолчанию является локальный компьютер. Можно также добавлять объекты групповой политики для других разделов домена (в частности, подразделений).
  3. Откройте следующие разделы: Конфигурация пользователя, Административные шаблоны, Компоненты Windows и Проводник.
  4. Выберите опцию Скрыть выбранные диски из папки «Мой компьютер».
  5. Установите флажок Скрыть выбранные диски из папки «Мой компьютер».
  6. Выберите подходящий параметр в раскрывающемся списке.
Данные параметры удаляют значки, представляющие выбранные жесткие диски, из папок «Мой компьютер», «Проводник Windows» и «Сетевое окружение». Кроме того, эти диски не будут отображаться в диалоговом окне «Открыть» всех программ.


Назначение данной политики — защита определенных дисков, в том числе дисковода для дискет, от несанкционированного использования. При помощи этой политики можно также ограничить доступ к дискам, на которые пользователи могут сохранять свою работу.


Для применения политики выберите в раскрывающемся списке диск или несколько дисков. Чтобы отображались все диски (ни одного скрытого), отключите данную политику или выберите параметр Не ограничивать доступ к дискам.


Данная политика не мешает пользователям использовать другие программы для получения доступа к локальным или сетевым дискам, а также просматривать и изменять свойства дисков с помощью оснастки «Управление дисками».


Кроме значений по умолчанию можно также использовать и другие значения. Чтобы добавить пользовательские значения, необходимо отредактировать файл System.adm. Изменения следует вносить в следующий раздел файла System.adm:

POLICY !!NoDrives 
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863
;low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0 (Default)
END ITEMLIST
END PART
END POLICY

[strings]
ABCDOnly="Restrict A, B, C and D drives only"
ABConly="Restrict A, B and C drives only"
ABOnly="Restrict A and B drives only"
ALLDrives="Restrict all drives"
COnly="Restrict C drive only"
DOnly="Restrict D drive only"
RestNoDrives="Do not restrict drives"
Раздел [strings] заполняется действительными значениями в раскрывающемся списке.


Данная политика отображает только указанные диски на клиентском компьютере. Раздел реестра, связанный с данной политикой, использует десятичное число, соответствующее 26-разрядной двоичной строке, в которой каждый бит представляет букву диска:


11111111111111111111111111
ZYXWVUTSRQPONMLKJIHGFEDCBA
Эта конфигурация соответствует числу 67108863 в десятичной системе и скрывает все диски. Чтобы скрыть диск С, установите третий снизу бит в 1, после чего преобразуйте двоичную строку в десятичную.


Нет необходимости создавать параметр для отображения всех дисков, поскольку снятие флажка полностью очищает список скрываемых дисков, то есть все диски отображаются автоматически.


Чтобы настроить политику для отображения другого набора дисков, создайте соответствующую двоичную строку, преобразуйте ее в десятичную и добавьте новый элемент со значением [strings] в раздел ITEMLIST. Например, чтобы скрыть диски L, M, N и O, создайте следующую строку


00000000000111100000000000
ZYXWVUTSRQPONMLKJIHGFEDCBA
и преобразуйте ее в десятичную. Данная двоичная строка преобразуется в число 30720 в десятичной системе. Добавьте эту строку в раздел [strings] в файле System.adm:


LMNO_Only="Restrict L, M, N and O drives only"
Добавьте этот элемент в раздел ITEMLIST выше и сохраните файл System.adm.


NAME !!LMNO_Only VALUE NUMERIC 30720
При этом будет создан восьмой элемент раскрывающегося списка, который скрывает только диски L, M, N и O. Используйте данный метод для включения в раскрывающийся список других значений. Измененный раздел файла System.adm будет иметь следующий вид:

POLICY !!NoDrives 
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863
;low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0 (Default)
NAME !!LMNO_Only VALUE NUMERIC 30720
END ITEMLIST
END PART
END POLICY

[strings]
ABCDOnly="Restrict A, B, C and D drives only"
ABConly="Restrict A, B and C drives only"
ABOnly="Restrict A and B drives only"
ALLDrives="Restrict all drives"
COnly="Restrict C drive only"
DOnly="Restrict D drive only"
RestNoDrives="Do not restrict drives"
LMNO_Only="Restrict L, M, N and O drives only"
Раздел [strings] заполняется действительными значениями в раскрывающемся списке.


Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

230263 Как создавать пользовательскую оснастку MMC при помощи консоли управления