我已经尝试了一切方法来通过组策略阻止用户访问网络上的 C:,但他们总能找到解决方法(学生)。
他们无法右键单击来创建快捷方式,但他们在 USB 上有快捷方式,并且能够运行快捷方式来访问 c:。
没有特定的组策略可以阻止访问 C 盘。有什么想法吗?
使用 Windows XP 客户端和 2003 服务器来运行 AD 和 GPolicy
答案1
我们一直对终端服务器执行此操作,以防有人以某种方式设法弄清楚如何打开传统的浏览对话框,Windows 只会弹出一条消息,说明当前策略拒绝他们访问。
在您的组策略中,找到以下内容:
- 用户配置
- 管理模板
- Windows 组件
- Windows资源管理器
- “在我的电脑中隐藏这些指定的驱动器”
- “防止从我的电脑访问驱动器”
我做这件事已经有一段时间了,但我相当确定这些是您需要的设置。有多种方法可以覆盖提供的默认选项,这样您就可以在需要时修改驱动器,使其不受提供的相当严格的选项的限制。
答案2
另一种选择是让他们有访问权限。我们最终使用 Faronics 的 Deep Freeze 抑制了他们的行为(当然,破坏性行为);它可以让您“冻结”硬盘,然后在重新启动时恢复到默认状态。当我们通过擦除 Windows 子目录进行测试时,它令人欣慰,直到 Windows 摇摇晃晃地倒下……然后重新启动,它又恢复了。
这使得学生可以做任何他们想做的事情而不会破坏你的配置;我们还发现它消除了很多与配置文件和缓存有关的损坏问题。
我认为还有其他几种替代方案,但我只使用过 DeepFreeze。它有一个中央控制台,用于监控工作站并可以远程解冻和冻结它们,我们还使用它来获取特定工作站的 IP 地址。
我曾在实验室工作过,这些实验室被锁定到几乎无法使用。即使在课堂上,我们也无法打开某些文档或使用记事本阅读源代码,因为系统管理员不允许这样做,而他恰好在两个小时车程之外的中央站点,而本地管理员则抱怨说,如果不与中央管理员事先安排,就无法解决某些问题。而且这是一所大学。Deep Freeze 为不受干扰地完成工作提供了更大的自由(它还允许某些人在本地机器上获得更高的权限,因为任何恶意软件或更改都会在重启时被删除;如果他们特意安装“个人”软件,他们会厌倦每次重启时都必须不断重新安装;至少这是我们看到的)。
当我们运行 2000 终端服务时,我们尝试通过策略锁定某些东西;我们发现该策略仅锁定某些东西(如 explorer)的访问。看起来有些程序(如 3.x 时代的文件管理器的旧副本)仍然能够浏览 C: 驱动器,以及一些免费文件管理器!除非修复该问题,否则看起来某些 API 仍然允许用户访问本应被策略阻止的本地驱动器。此外,我们的系统有时会由于我们无法理解的原因而无法立即获得策略,或者表现得好像它们在重新启动一两次后才会获得任何策略更新,所以有时我们会遇到可以绕过配置锁定并做他们不应该做的事情的人。