Bron: http://support.microsoft.com/kb/231289
Een klant van Call2 wilde graag zijn 2 backup schijven verbergen voor alle gebruikers in het domein. In zijn geval
waren dat zijn Y en Z schijf. ICT Service solutions heeft dat door een aanpassing van de Default domain policy geïmplementeerd.
De optie om drive letters te verbergen, staan in Group Policy management onder User Configuration -> User Templates
-> Windows components -> Windows Explorer ->"Hide these drive letters.."
De standaard instellingen geven geen opties buiten de drive letters A,B,C en D. Om een eigen combinatie hieraan toe
te voegen, dient de default GPO aangepast te worden.
GPO's halen hun opties uit het bestand system.adm . Dit is te vinden op de volgende locatie: %SystemRoot%
\Sysvol\Sysvol\Uw domeinnaam\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Adm\System.adm. De sleutel kan anders
zijn dan hier vertoond, maar onder de map met {...} moet een map 'adm' staan. Dit is de Default Domain policy.
Dit bestand kan worden geopend in notepad. Maak wel voor er wijzigingen in worden aangebracht een kopie!
Zoek nu met [Ctrl +F] op 'ABCDOnly' totdat je bij de volgende locatie bent:
POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863
;low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0 (Default)
END ITEMLIST
END PART
END POLICY
[strings]
ABCDOnly="Restrict A, B, C and D drives only"
ABConly="Restrict A, B and C drives only"
ABOnly="Restrict A and B drives only"
ALLDrives="Restrict all drives"
COnly="Restrict C drive only"
DOnly="Restrict D drive only"
RestNoDrives="Do not restrict drives"
De opties die onder [ITEMLIST] genoemd staan, hebben een waarde. Deze waarde is een omgerekend binair getal van 26
tekens. Deze staan in rechtstreekse relatie tot het alfabet van z-a. Door een waarde van 1 toe te kennen, wordt een
drive letter verborgen.
Om de Y en Z schijf nu te verbergen, ga je als volgt te werk:
ZYXWVUTSRQPONMLKJIHGFEDCBA
11000000000000000000000000 = 50331648 (Tip: op deze manier uitschrijven en met [Crtl +C]+[Ctrl +V] in Windows
calculator zetten)
Voeg deze regel toe aan de sectie [strings] in het bestand System.adm:
NAME !!YZOnly VALUE NUMERIC 50331648
De itemlist komt er dan als volgt uit te zien:
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863
;low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0 (Default)
NAME !!YZOnly VALUE NUMERIC 50331648
END ITEMLIST
Voeg vervolgens dit item toe aan de bovengenoemde sectie ITEMLIST:
YZOnly="Restrict Y and Z drive only"
Hierdoor wordt een extra optie aan de vervolgkeuzelijst toegevoegd waarmee alleen de stations Y en Z worden
verborgen.
De [strings] sectie komt er dan zo uit te zien:
[strings]
ABCDOnly="Restrict A, B, C and D drives only"
ABConly="Restrict A, B and C drives only"
ABOnly="Restrict A and B drives only"
ALLDrives="Restrict all drives"
COnly="Restrict C drive only"
DOnly="Restrict D drive only"
RestNoDrives="Do not restrict drives"
YZOnly="Restrict Y and Z drive only"
Sla na de wijzigingen het bestand op als system.adm
Vervolgens kan je een nieuwe GPO aanmaken op het hele domein (helaas niet op een specifieke OU). Als de optie niet
verschijnt, is helaas een reboot van de domain controller.
Nu is het zaak om de Administrator deze restrictie niet te laten krijgen:
Maak een security groep aan voor alle gebruikers die wel deze instelling moeten krijgen, bijvoorbeeld
SEC_common_users en voeg daar alle gewone gebruikers aan toe.
Plaats vervolgens een WMI filter op de link van de GPO via de optie "appy this GPO to the following users" en
selecteer de net aangemaakte security groep.
De eerstvolgende keer dat een lid van deze security groep inlogt, zal hij de Y en Z schijf niet meer te zien krijgen
Abonneren op:
Reacties posten (Atom)
Geen opmerkingen:
Een reactie posten