Использование объектов групповой политики для сокрытия указанных дисков

В этой статье приводится ряд сведений об использовании объектов групповой политики для сокрытия указанных дисков.

Применяется к:   Windows 10 — все выпуски
Исходный номер КБ:   231289

Сводка

С помощью объектов групповой политики в Windows существует параметр "Скрыть указанные диски в моем компьютере", который позволяет скрыть определенные диски. Однако может потребоваться скрыть только определенный диск, но сохранить доступ к другим.

Существует семь вариантов ограничения доступа к дискам по умолчанию. Вы можете добавить другие ограничения, изменяя файл System.adm для политики домена по умолчанию или любого настраиваемого объекта групповой политики (GPO). Семь выборов по умолчанию:

  • Ограничение только дисков A, B, C и D
  • Ограничение только дисков A, B и C
  • Ограничение только дисков A и B
  • Ограничение всех дисков
  • Ограничение только диска C
  • Ограничение только диска D
  • Не ограничивая диски

Корпорация Майкрософт не рекомендует изменять файл System.adm, а вместо этого создавать новый файл .adm и импортировать этот .adm в GPO. Причина в том, что при применении изменений к файлу system.adm эти изменения могут перезаписываться, если Корпорация Майкрософт выпустит новую версию файла system.adm в Пакет обновления.

Дополнительная информация

Расположение файла System.adm по умолчанию для политики домена по умолчанию:

%SystemRoot% \ Sysvol \ Sysvol \ <YourDomainName> \ Policies \ { 31B2F340-016D-11D2-945F-00C04FB984F9} \ Adm \ System.adm

Содержимое этих папок реплицируется в домене службой репликации файлов (FRS).

Примечание

Папка Adm и ее содержимое не заполняются до тех пор, пока по умолчанию политика домена не будет загружена впервые.

Внесение изменений в эту политику для одного из семи значений по умолчанию:

  1. Запустите консоль управления Майкрософт. В меню консоли выберите команду Добавить или удалить оснастку.
  2. Добавьте оснастку групповой политики для политики домена по умолчанию. Чтобы сделать это, нажмите кнопку Просмотр, когда вам будет предложено выбрать объект групповой политики (GPO). По умолчанию GPO — локальный компьютер. Можно также добавить GPOs для других разделов домена (в частности, Организационные единицы).
  3. Откройте следующие разделы: Конфигурация пользователей, административные шаблоны, Windows компоненты и Windows Explorer.
  4. Нажмите кнопку Скрыть указанные диски в моем компьютере.
  5. Нажмите кнопку Скрыть указанные диски в поле "Мой компьютер".
  6. Щелкните соответствующий параметр в выпадаемом поле.

Эти параметры удаляют значки, представляющие выбранные жесткие диски из my Computer, Windows Explorer и My Network Places. Кроме того, эти диски не отображаются в диалоговом окне Open любых программ.

Эта политика предназначена для защиты определенных дисков, в том числе дискетного диска, от неправильного использования. Его также можно использовать для того, чтобы направлять пользователей на сохранение работы на определенных дисках.

Чтобы использовать эту политику, выберите диск или комбинацию дисков в выпадаемом поле. Чтобы отобразить все диски (скрыть их нет), отключите эту политику или нажмите кнопку Не ограничивать диски.

Эта политика не мешает пользователям использовать другие программы для получения доступа к локальным и сетевым дискам или не позволяет им просматривать и изменять характеристики дисков с помощью оснастки Disk Management.

Значения по умолчанию не являются единственными значениями, которые можно использовать. При редактировании файла System.adm можно добавить собственные настраиваемые значения. Это часть system.adm, которая должна быть изменена:

POLICY !!NoDrives  
     EXPLAIN !!NoDrives_Help  
        PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED  
           VALUENAME "NoDrives"  
            ITEMLIST  
                  NAME !!ABOnly VALUE NUMERIC 3  
                  NAME !!COnly VALUE NUMERIC 4  
                  NAME !!DOnly VALUE NUMERIC 8  
                  NAME !!ABConly VALUE NUMERIC 7  
                  NAME !!ABCDOnly VALUE NUMERIC 15  
                  NAME !!ALLDrives VALUE NUMERIC 67108863  
                  ;low 26 bits on (1 bit per drive)  
                  NAME !!RestNoDrives VALUE NUMERIC 0 (Default)  
            END ITEMLIST  
        END PART  
      END POLICY

[strings]  
ABCDOnly="Restrict A, B, C and D drives only"  
ABConly="Restrict A, B and C drives only"  
ABOnly="Restrict A and B drives only"  
ALLDrives="Restrict all drives"  
COnly="Restrict C drive only"  
DOnly="Restrict D drive only"  
RestNoDrives="Do not restrict drives"  

В разделе [строки] представлены замены фактических значений в выпадаемом поле.

Эта политика отображает только указанные диски на клиентский компьютер. Ключ реестра, на который влияет эта политика, использует десятичный номер, соответствующий 26-битной двоичной строке, при этом каждый бит представляет букву диска:

11111111111111111111111111 ZYXWVUTSRQPONMLKJIHGFEDCBA

Эта конфигурация соответствует 67108863 десятичной и скрывает все диски. Если вы хотите скрыть диск C, сделайте третий-самый низкий бит 1, а затем преобразуем двоичную строку в десятичную.

Нет необходимости создавать параметр, чтобы показать все диски, так как очистка окна удаляет запись "NoDrives" полностью, и все диски автоматически показаны.

Если вы хотите настроить эту политику, чтобы показать другую комбинацию дисков, создайте соответствующую двоичную строку, преобразуйте десятичную и добавьте новую запись в раздел ITEMLIST с соответствующей записью [строки]. Например, чтобы скрыть диски L, M, N и O, создайте следующую строку

00000000000111100000000000 ZYXWVUTSRQPONMLKJIHGFEDCBA

и преобразовать в десятичной. Эта двоичная строка преобразуется в 30720 в десятичном. Добавьте эту строку в раздел [строки] в файле System.adm:

LMNO_Only="Ограничение только дисков L, M, N и O"

Добавьте эту запись в разделе ITEMLIST выше и сохраните файл System.adm.

ИМЯ !! LMNO_Only ЗНАЧЕНИЕ NUMERIC 30720

Это создает восьмую запись в выпадаемом поле, чтобы скрыть диски L, M, N и O только. Используйте этот метод, чтобы включить больше значений в поле drop-down. Измененный раздел файла System.adm выглядит следующим образом:

POLICY !!NoDrives  
     EXPLAIN !!NoDrives_Help  
        PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED  
           VALUENAME "NoDrives"  
            ITEMLIST  
                  NAME !!ABOnly VALUE NUMERIC 3  
                  NAME !!COnly VALUE NUMERIC 4  
                  NAME !!DOnly VALUE NUMERIC 8  
                  NAME !!ABConly VALUE NUMERIC 7  
                  NAME !!ABCDOnly VALUE NUMERIC 15  
                  NAME !!ALLDrives VALUE NUMERIC 67108863  
                  ;low 26 bits on (1 bit per drive)  
                  NAME !!RestNoDrives VALUE NUMERIC 0 (Default)  
                              NAME !!LMNO_Only VALUE NUMERIC 30720  
            END ITEMLIST
       END PART  
     END POLICY

[strings]  
ABCDOnly="Restrict A, B, C and D drives only"  
ABConly="Restrict A, B and C drives only"  
ABOnly="Restrict A and B drives only"  
ALLDrives="Restrict all drives"  
COnly="Restrict C drive only"  
DOnly="Restrict D drive only"  
RestNoDrives="Do not restrict drives"  
LMNO_Only="Restrict L, M, N and O drives only"  

В этом разделе [строки] представлены замены фактических значений в выпадаемом поле.