我已经尝试了一切,以防止用户通过组策略访问networking上的C:但他们总是find一个方法(学生)。
他们不能右键单击来创build快捷方式,但他们有USB上的快捷方式,并能够运行快捷方式来访问c :.
没有一个特定的组策略阻止访问C驱动器。 有什么想法吗?
使用带有2003服务器的Windows XP客户端用于AD和GPolicy
我们总是用terminal服务器来做这个事情,以防万一有人想办法打开传统的浏览对话框,Windows只是popup一条消息,说现在的政策是拒绝他们访问。
在您的组策略中,find以下内容:
这是我做了一段时间,但我相当肯定这些是你将需要的设置。 有多种方法可以覆盖所提供的默认选项,以便您可以修改驱动器超过所提供的相当严格的选项(如果您需要的话)。
另一种select是让他们有权访问。 我们最终使用Faronics的Deep Freeze来遏制他们的行为(以及破坏行为) 它可以让你“冻结”硬盘,然后重新启动它回到默认状态。 当我们通过擦除Windows子目录来testing它,直到Windows被淹没并摔倒,然后重新启动并重新启动后,
这可以让学生做任何他们想要的而不破坏你的configuration; 我们还发现它消除了configuration文件和caching中的大量腐败问题。
我认为还有一些其他的select,但我只使用DeepFreeze。 有一个中央控制台用于监视工作站,可以远程解冻和冻结它们,我们也使用它来获取特定工作站的IP地址。
我曾在实验室工作过,因为这些实验室几乎无法使用任何东西。 即使在课堂上,我们也无法得到某些文档打开或使用记事本来读取源代码,因为系统pipe理员在中央站点碰巧两个小时的时间内不允许这样做,而本地pipe理员家伙感叹无法解决某些问题,而无需事先与中央pipe理员进行预先安排。 这是一所大学。 Deep Freeze可以更加自由地完成工作而不受干扰(这也允许我们的站点在某些人的本地计算机上获得更高的权限,因为任何恶意软件或更改在重新启动时都会被清除;如果他们不想安装“个人”软件,他们厌倦了不得不在每次重新启动时不断重新安装;至less这是我们所看到的)。
当我们运行2000个terminal服务时,我们试图通过策略来locking事物; 我们发现这个政策只locking了某些东西,如探险家的访问。 它看起来像一些程序(如3.x天的文件pipe理器的旧副本)能够仍然浏览C:驱动器,以及一些免费软件文件pipe理器! 除非这个问题得到解决,否则看起来某些API仍然允许用户访问本应被政策屏蔽的本地驱动器。 另外,我们有系统,由于我们从来没有明白的理由有时不会立即得到政策,或行动,如果他们不会得到任何政策更新,直到重新启动或两个,所以有时我们有人可以绕过configurationlocking,做事情他们不应该。