使用组策略对象隐藏指定驱动器_一步一步学电脑

使用组策略对象隐藏指定驱动器_一步一步学电脑_百度空间

Windows 中有了组策略对象后，就有了下面这个让您隐藏指定的驱动器的选项：隐藏“我的电脑”中的这些指定的驱动器。但是，可能只需要隐藏某个驱动器而保留对其他驱动器的访问。

有七个默认的选项可用来限制对驱动器的访问。您可以通过修改默认域策略或任一个自定义组策略对象 (GPO) 的 System.adm 文件来添加其他限制。七个默认选项是：

xx制驱动器 A、B、C 和 D
xx制驱动器 A、B 和 C
xx制驱动器 A 和 B
限制所有驱动器
xx制驱动器 C
只限制 D 驱动器
不限制驱动器

Microsoft 建议您不要更改 System.adm 文件，而要创建一个新的 .adm 文件并将此 .adm 文件导入到 GPO 中。原因是：如果您要对 system.adm 文件应用更改，则当 Microsoft 在 Service Pack 中发布新版本的 system.adm 文件时，这些更改可能会被覆盖。
默认域策略的 System.adm 文件的默认位置是：这些文件夹的内容会通过文件复制服务 (FRS) 复制到整个域中。注意，Adm 文件夹及其内容直到默认域策略首次加载时才填充。

要为七个默认值之一更改此策略，请执行下面的操作步骤：

启动 Microsoft 管理控制台。在“控制台”菜单上，单击添加/删除管理单元。
为默认域策略添加组策略管理单元。为此，在屏幕提示您选择组策略对象 (GPO) 时，请单击浏览。默认 GPO 是本地计算机。您也可以为其他的域分区（具体来说就是组织单位）添加 GPO。
打开下面的区域：用户配置、管理模板、Windows 组件和 Windows 资源管理器。
单击“隐藏‘我的电脑’中的这些指定的驱动器”。
单击以选中“隐藏‘我的电脑’中的这些指定的驱动器”复选框。
在下拉框中，单击相应的选项。

这些设置会从“我的电脑”、“Windows 资源管理器”和“网上邻居”中删除代表所选硬盘的图标。另外，这些驱动器不会出现在任何程序的打开对话框中。

此策略用于保护某些驱动器（包括软盘驱动器），防止它们被滥用。它也可以用于指引用户将他们的工作保存在某些驱动器上。

要使用这项策略，请在下拉框中选择一个驱动器或组合形式的驱动器。要显示所有驱动器（一个也不隐藏），请禁用这项策略或单击“不限制驱动器”选项。

这项策略不能防止用户使用其他程序访问本地或网络驱动器，也不能防止他们使用磁盘管理管理单元查看并更改驱动器特性。

您并非只能使用默认值。通过编辑 System.adm 文件，您可以添加自己的自定义值。下面是 System.adm 中可修改的部分：


POLICY !!NoDrives 
   EXPLAIN !!NoDrives_Help
      PART !!NoDrivesDropdown          DROPDOWNLIST NOSORT REQUIRED
         VALUENAME "NoDrives"
          ITEMLIST
                NAME !!ABOnly           VALUE NUMERIC 3
                NAME !!COnly            VALUE NUMERIC 4
                NAME !!DOnly            VALUE NUMERIC 8
                NAME !!ABConly          VALUE NUMERIC 7
                NAME !!ABCDOnly         VALUE NUMERIC 15
                NAME !!ALLDrives        VALUE NUMERIC 67108863                                                  
                ;low 26 bits on (1 bit per drive)
                NAME !!RestNoDrives     VALUE NUMERIC 0 (Default)
          END ITEMLIST
     END PART               
   END POLICY

[strings]
ABCDOnly="Restrict A, B, C and D drives only"
ABConly="Restrict A, B and C drives only"
ABOnly="Restrict A and B drives only"
ALLDrives="Restrict all drives"
COnly="Restrict C drive only"
DOnly="Restrict D drive only"
RestNoDrives="Do not restrict drives"

[strings] 部分代表下拉框中的实际值的替换值。

这项策略在客户端计算机上只显示指定的驱动器。这项策略所影响的注册表项使用与 26 位二进制字符串（每一位代表一个驱动器号）相对应的十进制数字：此配置对应于十进制数字 67108863，它会隐藏所有的驱动器。如果您要隐藏驱动器 C，将第三低位设置为 1，然后将二进制字符串转换为十进制数字。

没有必要创建一个显示所有驱动器的选项，因为xx复选框就xx删除了“NoDrives”项，所有驱动器都会自动显示。

如果您要配置这项策略以显示一个不同的驱动器组合，请创建相应的二进制字符串，将它转换成十进制数字，并向 ITEMLIST 部分添加一个带有相应的 [strings] 项的新项。例如，要隐藏驱动器 L、M、N 和 O，请创建下面的字符串并将其转换成十进制。这个二进制字符串可转换成十进制数字 30720。将下面的行添加到 System.adm 文件的 [strings] 部分：将下面的项添加到上面的 ITEMLIST 部分并保存 System.adm 文件。这样就创建了下拉框的第八项：只隐藏驱动器 L、M、N 和 O。使用此方法可使下拉框包含更多的值。System.adm 文件的已修改的部分显示如下：


POLICY !!NoDrives 
   EXPLAIN !!NoDrives_Help
      PART !!NoDrivesDropdown          DROPDOWNLIST NOSORT REQUIRED
         VALUENAME "NoDrives"
          ITEMLIST
                NAME !!ABOnly           VALUE NUMERIC 3
                NAME !!COnly            VALUE NUMERIC 4
                NAME !!DOnly            VALUE NUMERIC 8
                NAME !!ABConly          VALUE NUMERIC 7
                NAME !!ABCDOnly         VALUE NUMERIC 15
                NAME !!ALLDrives        VALUE NUMERIC 67108863                                                  
                ;low 26 bits on (1 bit per drive)
                NAME !!RestNoDrives     VALUE NUMERIC 0 (Default)
                            NAME !!LMNO_Only        VALUE NUMERIC 30720
          END ITEMLIST
     END PART               
   END POLICY

[strings]
ABCDOnly="Restrict A, B, C and D drives only"
ABConly="Restrict A, B and C drives only"
ABOnly="Restrict A and B drives only"
ALLDrives="Restrict all drives"
COnly="Restrict C drive only"
DOnly="Restrict D drive only"
RestNoDrives="Do not restrict drives"
LMNO_Only="Restrict L, M, N and O drives only"

此 [strings] 部分代表下拉框中的实际值的替换值。

利用组策略让系统可以使用USB接口但不能使用闪存。

笔者为单位的系统管理员，管理50台左右的电脑，因为电脑多而人手不够，为方便管理，将电脑的软驱、光驱全部拆除，前置USB口的连接线也拆掉，并在BIOS里禁用了USB端口，设置了密码，使USB端口不能使用，虽说在一定程度上控制了科室工作人员使用闪存，但也因为USB口的禁用，而导致不能使用USB鼠标、打印机等设备。

最近有科室要求使用激光打印机及手写板，激光打印机勉强找到了能连接的COM口，而手写板设备只能使用USB接口。我想在禁止使用USB存储器的情况下又不影响USB设备（打印机、手写板）的使用，这该怎么办呢？

一、常用的方法不可行

我首先尝试了以下两个很多人常用的方法，结论是不可行。

1．使用USB控制软件。下载了几个USB控制软件，如myusbonly、USB控制大师等，试用效果却不尽如人意。Myusbonly的控制能力不错，但是却有个缺点，那就是当闪存插上后会出现闪存盘符，大约要延迟几秒的时间盘符才会消失。如果有人在这几秒的时间内拷贝文件或是使用了带病毒的闪存，那么后果也会很严重。

2．隐藏磁盘分区。若能隐藏并禁止访问磁盘分区，那么也可以达到我想要的效果。单位采用的是域管理，客户机使用权限较低的用户登录到域，大部分的操作都受到限制。客户机电脑硬盘共3个分区，C盘跟D盘禁止访问，只有E盘可供操作人员自由使用，此外还有一个网络驱动器P盘，存放需要访问的公共文件。可是在组策略中隐藏磁盘的七个选项都不符合我的要求，达不到只能访问E盘跟P盘的效果（图1）。

二、修改组策略文件隐藏驱动器

后来，偶然搜寻到了微软网站的页面“使用组策略对象隐藏指定驱动器”（页面链接： http://support.microsoft.com/kb/231289/zh-cn），文中提到了用修改组策略文件的方法来达到隐藏及禁用磁盘分区的效果，于是立即参照操作。达到目的，方法如下。

1.确定数字与盘符的关系

因为我需要隐藏及禁用的是除了E、P盘之外的磁盘分区，按照文章所述，需要隐藏的驱动器的值设为1，不隐藏的驱动器的值为0，那么数字与盘符的对应关系如下表：

2.修改system.adm文件

搜索域控制器C盘下的system.adm文件，一下搜出来好几个，且分布在不同的文件夹，大小及修改日期都一样。随便复制了其中1个文件并用记事本打开，查找“Nodrives”及“Noviewdrives”，在ITEMLIST段各增加一行“NAME !!ABCDFGHIJKLMNOQRSTUVWXYZOnly VALUE NUMERIC 67076079” ，如图2。

然后继续查找“Stings”，添加一行“ABCDFGHIJKLMNOQRSTUVWXYZOnly="除E、P外其他驱动器"”，如图3。

修改后进行保存并覆盖掉原来的文件。

3. 编辑域用户的组策略

重新启动域控制器，打开“Active Directory用户和计算机”编辑域用户的组策略，在“用户配置”→“管理模板”→“Windows资源管理器”的“隐藏我的电脑中这些指定的驱动器”和“防止从我的电脑访问驱动器”的选项中果然就出现了“除E、P外的驱动器”选项，如图4。

选择该项并确定后，找了台客户机，开放其USB口，登录到域后，插入闪存，右下角系统托盘区显示了闪存标志，但是在我的电脑里却显示不出闪存盘符，在地址栏中输入闪存盘符也提示不允许访问，此时使用USB鼠标等设备却没有影响。成功地达到了禁用USB储存器而不影响USB设备的使用。{zh1}，为保险起见，在组策略中禁用了自动播放。

郑重声明：资讯【使用组策略对象隐藏指定驱动器_一步一步学电脑_百度空间】由发布，版权归原作者及其所在单位，其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实，请读者仅作参考，并请自行核实相关内容。若本文有侵犯到您的版权，请你提供相关证明及申请并与我们联系（qiyeku # qq.com）或【在线投诉】，我们审核后将会尽快处理。

—— 相关资讯 ——