Отключение сетевых дисков групповой политикой

Обновлено: 04.07.2024

В этой статье приводится ряд сведений об использовании объектов групповой политики для сокрытия указанных дисков.

Применяется к: Windows 10 — все выпуски
Исходный номер КБ: 231289

Сводка

С помощью объектов групповой политики в Windows существует параметр "Скрыть указанные диски в моем компьютере", который позволяет скрыть определенные диски. Однако может потребоваться скрыть только определенный диск, но сохранить доступ к другим.

Существует семь вариантов ограничения доступа к дискам по умолчанию. Вы можете добавить другие ограничения, изменяя файл System.adm для политики домена по умолчанию или любого настраиваемого объекта групповой политики (GPO). Семь выборов по умолчанию:

Ограничение только дисков A, B, C и D
Ограничение только дисков A, B и C
Ограничение только дисков A и B
Ограничение всех дисков
Ограничение только диска C
Ограничение только диска D
Не ограничивая диски

Корпорация Майкрософт не рекомендует изменять файл System.adm, а вместо этого создавать новый файл .adm и импортировать этот .adm в GPO. Причина в том, что при применении изменений к файлу system.adm эти изменения могут перезаписываться, если Корпорация Майкрософт выпустит новую версию файла system.adm в Пакет обновления.

Дополнительная информация

Расположение файла System.adm по умолчанию для политики домена по умолчанию:

%SystemRoot% \ Sysvol \ Sysvol \ <YourDomainName> \ Policies \ < 31B2F340-016D-11D2-945F-00C04FB984F9>\ Adm \ System.adm

Содержимое этих папок реплицируется в домене службой репликации файлов (FRS).

Папка Adm и ее содержимое не заполняются до тех пор, пока по умолчанию политика домена не будет загружена впервые.

Внесение изменений в эту политику для одного из семи значений по умолчанию:

Эти параметры удаляют значки, представляющие выбранные жесткие диски из my Computer, Windows Explorer и My Network Places. Кроме того, эти диски не отображаются в диалоговом окне Open любых программ.

Эта политика предназначена для защиты определенных дисков, в том числе дискетного диска, от неправильного использования. Его также можно использовать для того, чтобы направлять пользователей на сохранение работы на определенных дисках.

Чтобы использовать эту политику, выберите диск или комбинацию дисков в выпадаемом поле. Чтобы отобразить все диски (скрыть их нет), отключите эту политику или нажмите кнопку Не ограничивать диски.

Эта политика не мешает пользователям использовать другие программы для получения доступа к локальным и сетевым дискам или не позволяет им просматривать и изменять характеристики дисков с помощью оснастки Disk Management.

Значения по умолчанию не являются единственными значениями, которые можно использовать. При редактировании файла System.adm можно добавить собственные настраиваемые значения. Это часть system.adm, которая должна быть изменена:

В разделе [строки] представлены замены фактических значений в выпадаемом поле.

Эта политика отображает только указанные диски на клиентский компьютер. Ключ реестра, на который влияет эта политика, использует десятичный номер, соответствующий 26-битной двоичной строке, при этом каждый бит представляет букву диска:

Эта конфигурация соответствует 67108863 десятичной и скрывает все диски. Если вы хотите скрыть диск C, сделайте третий-самый низкий бит 1, а затем преобразуем двоичную строку в десятичную.

Нет необходимости создавать параметр, чтобы показать все диски, так как очистка окна удаляет запись "NoDrives" полностью, и все диски автоматически показаны.

Если вы хотите настроить эту политику, чтобы показать другую комбинацию дисков, создайте соответствующую двоичную строку, преобразуйте десятичную и добавьте новую запись в раздел ITEMLIST с соответствующей записью [строки]. Например, чтобы скрыть диски L, M, N и O, создайте следующую строку

и преобразовать в десятичной. Эта двоичная строка преобразуется в 30720 в десятичном. Добавьте эту строку в раздел [строки] в файле System.adm:

LMNO_Only="Ограничение только дисков L, M, N и O"

Добавьте эту запись в разделе ITEMLIST выше и сохраните файл System.adm.

ИМЯ !! LMNO_Only ЗНАЧЕНИЕ NUMERIC 30720

Это создает восьмую запись в выпадаемом поле, чтобы скрыть диски L, M, N и O только. Используйте этот метод, чтобы включить больше значений в поле drop-down. Измененный раздел файла System.adm выглядит следующим образом:

В этом разделе [строки] представлены замены фактических значений в выпадаемом поле.

Всегда находятся такие пользователи, которым могут не нравится какие-либо отдельные возможности такого компонента операционной системы, как «Проводник Windows». Часть таких пользователей, периодически пробует изменить определенные настройки проводника, что может повлечь за собой некоторые проблемы. Помимо проводника Windows такие пользователи также могут случайно, по незнанию, изменить разрешения безопасности или предоставить доступ к ресурсам всем пользователям, которые имеют доступ к данному компьютеру в сети, что иногда может вызвать массу неприятностей. В совете этой недели мы поговорим с вами о том, как можно защитить проводник Windows от ваших же пользователей при помощи функционала групповых политик.

Мы рассмотрим с вами пять параметров групповой политики, позволяющих:

удалить команду «Параметры папок» из меню «Сервис»;
удалить вкладку «Безопасность» из диалогового окна свойств файлов или папок;
удалить команды «Подключить сетевой диск» и «Отключить сетевой диск»;
запретить добавление файлов в корневую папку файлов пользователя;
постоянно отображать строку меню в проводнике Windows.

Для того чтобы определить эти параметры, выполните следующие действия:

Рис. 1. Узел «Проводник Windows»

Рис. 2. Запрещаем пользователям открывать диалоговое окно «Параметры папок»

Рис. 3. Удаляем вкладку «Безопасность» из диалогового окна свойств файла или папки

Рис. 4. Запрещаем пользователям добавлять файлы в корневую папку

Рис. 5. Настраиваем постоянное отображение строки меню в проводнике Windows

В итоге, после того как ваш пользователь в следующий раз выполнит вход в систему и откроет проводник Windows, он увидит следующее:

В проводнике Windows сразу после его открытия будет отображена строка меню;
В меню «Сервис» останется только одна команда – «Открыть центр синхронизации»;
Если пользователь в своем проводнике Windows откроет компьютер, расположенный в сети и выберет сетевой диск, то опция «Подключить сетевой диск» будет не активна;
В диалоговом окне свойств папки или файла не будет вкладки «Безопасность»;
В корневую папку с файлами пользователя невозможно будет добавить новые папки или файлы

Эту ограниченную функциональность вы можете увидеть на следующей иллюстрации:

Рис. 6. Изменения в проводнике, которые увидит пользователь

Как скрыть диски из проводника Windows (реестр, GPO)

Задача: убрать из проводника некоторые диски, чтобы простые пользователи не видели их в окне Мой компьютер, желательно через групповые политики.

Здесь я выложу инструкцию как убрать диски из explorer через реестр и через GPO.

Способ №1. Прячем локальные диски на компьютере через реестр

Открываем реестр, идём в ветку HREY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer, надо создать параметр REG_DWORD с именем NoDrives. Установите следующие значения для скрытия дисков (значения в шестнадцатеричной системе):

Скрыть все значки = 0x03ffffff

Скрытие значков дисков в окне Мой компьютер и Проводник

Если вы хотите скрыть значки дисков в окне Мой компьютер и Проводник, то откройте раздел
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer
и создайте параметр NoDrives типа DWORD с требуемым значением. Также будут скрыты эти значки и в стандартных окнах Открытия и Сохранения файлов. Тем не менее, пользователь по-прежнему имеет доступ к этим дискам (через команду Выполнить или печатая вручную адрес в адресной строке Проводника)

0x03FFFFFF Скрывает все значки
0x3 Скрывает только диски A и B
0x4 Скрывает только диск C
0x8 Скрывает только диск D
0x7 Скрывает только диски A, B и C
0xF Скрывает только диски A, B, C и D
0x0 Видны все диски

Можно использовать и десятичную систему. Смотри совет ниже.

Запрет на доступ к содержимому выбранных дисков

Список всех дисков: A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64, H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384, P: 32768, Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304, X: 8388608, Y: 16777216, Z: 33554432, Все диски: 67108863

Способ №2. Скрываем диски через групповые политики

Способ №3. Комбинированный способ: GPO + реестр

И тут прописываем следующие параметры. Продублирую текстом: Куст HKEY_CURRENT_USER, Путь раздела Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, Имя параметра NoDrives, Тип параметра REG_DWORD, значение для скрытия диска Z 33554432. Для других дисков считаем значение по правилу из способа №1

Этот способ оказался идеальным, я скрыл только требуемые диски у группы пользователей. Применяем политику через gpupdate /force и проверяем!

GPO. Подключение сетевых дисков через групповые политики

Подключение сетевых дисков через групповые политики работает намного быстрее, чем различные логон-скрипты.

Открываем оснастку Пользователи и компьютеры Active Directory

Создаем группу безопасности в Active Directory для пользователей, которым будет подключаться, например, сетевой диск Y. Область действия группы - Локальная в домене.

Вводим Имя группы:

Нажимаем Ok и после этого щелкаем правой кнопкой на созданной группе, в контекстном меню выбираем Свойства:

Вкладка Члены группы, Добавить:

Вводим имя выбранного пользователя и нажимаем Проверить имена:

Выбираем необходимого пользователя и нажимаем Ok:

И еще раз - Ok:

Теперь запустим оснастку Управление групповой политикой и создадим новую групповую политику, например, U Сетевой диск Y. Далее щелкаем правой кнопкой на созданной групповой политике U Сетевой диск Y и отключаем Параметры конфигурации компьютера:

Теперь выбираем Изменить:

В открывшемся окне Редактор управления групповыми политиками выбираем последовательно:
Конфигурация пользователя -> Настройка -> Конфигурация Windows -> Сопоставления дисков: