Πως κρύβω Drive Letters με GPO;
Ένας τρόπος διαχείρισης ενός δικτύου είναι με πολιτικές, Group Policy Objects (GPOs). Οι πολιτικές αποτελούνται μεταξύ άλλων από αρχεία adm (Windows 2003), admx (Windows 2008 και adml για κάθε γλώσσα. Αυτά είναι τα templates των πολιτικών, δηλαδή όλες οι επιλογές που μας δίνει μια πολιτική. Στο Internet υπάρχουν αρκετά templates έτοιμα που μπορούμε να κατεβάσουμε για να δώσουμε επιπλέων επιλογές στις πολιτικές μας. Τα templates αυτά από default βρίσκονται στο φάκελο PolicyDefinitions μέσα στο φάκελο Windows (%systemroot%).
Στην περίπτωση που θέλουμε να περιορίσουμε τα drive letters που θα βλέπει ο χρήστης, τότε θα πρέπει να ενεργοποιήσουμε την πολιτική “Hide these specified drives in My Computer”, που βρίσκεται στο “User Configuration/Administrative Templates/Windows Components/Windows Explorer” . Οι επιλογές όμως που έχουμε είναι περιορισμένες όπως φαίνεται και στην εικόνα 1.
Για να δώσουμε περισσότερες επιλογές θα πρέπει να πειράξουμε τα αρχεία ADMX/ADM και ADML. Αν δοκιμάσουμε να τροποποιήσουμε τα templates στο φάκελο Windows\PolicyDefinitions στα 2008, δεν μας αφήνει λόγο δικαιωμάτων. Επίσης αν καταφέρουμε με διάφορες αλχημείες να τα πειράξουμε, τις αλλαγές αυτές δεν θα τις γνωρίζουν οι υπόλοιποι Domain Controllers αφού ο καθένας χρησιμοποιεί τα Templates από το Local Store, δηλαδή τον δικό του φάκελο PolicyDefinitions (Εικόνα 2).
Για το λόγο αυτό θα πρέπει να διμιουργήσουμε ένα Central Store για τα Templates αντιγράφοντας όλο το φάκελο PolicyDefinitions ενός DC, στο \\domain\sysvol\domain\policies. Τώρα είμαστε έτοιμοι να κάνουμε τις αλλαγές στο Template που θέλουμε, στην περίπτωσή μας αυτό είναι το Windows Explorer.admx και το αντίστοιχο WindowsExplorer.adml αρχείο.
Ανοίγουμε το WindowsExplorer.admx με το notepad και βρίσκουμε το σημείο με το παρακάτω κείμενο (Εικόνα 3):
Από τη γραμμή <item displayName=....... μέχρι </item> είναι ο κώδικας που αφορά μια από τις επιλογές του drop down μενού. Για να βάλουμε ακόμα μία επιλογή πρέπει να προσθέσουμε ένα αντίστοιχο set κώδικα. Για παράδειγμα αν θέλουμε να κόψουμε τα B,C,D θα πρέπει να προσθέσουμε τον παρακάτω κώδικα στο admx κάτω από το τελευταίο </item> :
Έτσι το τελικό αποτέλεσμα στο αρχείο θα είναι :
Αντίστοιχα θα πρέπει να τροποποιήσουμε και το WindowsExplorer.adml αρχείο στον υποφάκελο EN-US (domain\sysvol\domain\Policies\PolicyDefinitions\EN-US). Ανοίγουμε το αρχείο με το notepad και στην αρχή του αρχείου θα βρούμε τις εγγραφές του Stringtable (<stringtable>) . Εκεί προσθέτουμε την τιμή
Έτσι θα έχουμε την παρακάτω εικόνα:
Μετά από αυτές τις αλλαγές στο Template μπορούμε να δημιουργήσουμε μια πολιτική και να δώσουμε την επιλογή “Restrict B, C and D drives only” (Εικόνα 4).
Όπως θα παρατηρήσατε στο ADMX αρχείο δώσαμε την τιμή 14 για την επιλογή των συγκεκριμένων drive letters, οι τιμές αυτές είναι συγκεκριμένες για κάθε συνδιασμό που θέλουμε. Το Resgistry key που επειρεάζεται από την πολιτική αυτή, δέχεται χρησιμοποιεί ένα δεκαδικό αριθμό, ο οποίος αντιστοιχεί σε μια δυαδική συμβολοσειρά 26 bit, όπου κάθε bit αντιπροσωπεύει ένα γράμμα μονάδας δίσκου:
Για παράδειγμα αν θέλουμε να αποκλείσουμε τα γράμματα C,D,E,F,G,L τότε θακάνουμε τους παρακάτω υπολογισμούς
00000000000000100001111100
ZYXWVUTSRQPONMLKJIHGFEDCBA
Μετατρέπουμε τον δυαδικό αριθμό σε δεκαδικό και έχουμε τον αριθμό 2174. Δίνοντας λοιπόν την τιμη αυτή στην νέα μας επιλογή, μπορούμε να κλειδώσουμε τα αντίστοιχα Drive Letters. Αν θέλετε μπορείτε να κατεβάσετε ένα εργαλείο που κάνει αυτούς τους υπολογισμούς για εσάς αυτόματα από εδώ.
5 Comments
Recommended Comments