域控隐藏盘符的设置项

在组策略管理编辑器中，依次打开的用户配置→策略→管理模板→Windows组件→Windows资源管理器，其中有两项：

1. 隐藏“我的电脑”中的这些指定的驱动器
2. 防止从“我的电脑”访问驱动器

只设置* 第一项 能让盘符在资源管理器窗口中消失，但是仍然可以通过快捷方式的打开文件位置等方式进入到磁盘；同时设置 第二项 *既能够隐藏盘符，也能避免用户通过其他方式直接在资源管理器中访问磁盘。

系统默认的配置方案

在上述两项的编辑窗口选择启用，发现系统默认都只提供了下面几种方案：

• 仅限制A和B
• 仅限制C
• 仅限制D
• 仅限制ABC
• 仅限制ABCD
• 限制所有磁盘
• 不限制

如果需要限制的盘符组合恰好存在，那么启用选择即可；但一般是不能满足要求的。

添加限制任意磁盘选项的方法

以限制除了E盘之外的所有磁盘为例：

1.复制模板文件

将** C:\Windows\ 路径下面的PolicyDefinitions文件夹拷贝到 C:\Windows\SYSVOL\sysvol\xxx.com\Policies **路径下面(xxx.com是所设置的域网络名称；假设系统盘为C盘)；

2.修改模板文件

在** C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions 中找到WindowsExplorer.admx文件，用记事本打开，查找 “NoDrives” **，找到如下代码段：

<policy name="NoDrives" class="User" displayName="$(string.NoDrives)" explainText="$(string.NoDrives_Help)" presentation="$(presentation.NoDrives)" key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer">
      <parentCategory ref="windows:WindowsExplorer" />
      <supportedOn ref="windows:SUPPORTED_Win2k" />
      <elements>
        <enum id="NoDrivesDropdown" valueName="NoDrives" required="true">
          <item displayName="$(string.ABOnly)">
            <value>
              <decimal value="3" />
            </value>
          </item>
          <item displayName="$(string.COnly)">
            <value>
              <decimal value="4" />
            </value>
          </item>
          <item displayName="$(string.DOnly)">
            <value>
              <decimal value="8" />
            </value>
          </item>
          <item displayName="$(string.ABConly)">
            <value>
              <decimal value="7" />
            </value>
          </item>
          <item displayName="$(string.ABCDOnly)">
            <value>
              <decimal value="15" />
            </value>
          </item>
          <item displayName="$(string.ALLDrives)">
            <value>
              <decimal value="67108863" />
            </value>
          </item>
          <item displayName="$(string.RestNoDrives)">
            <value>
              <decimal value="0" />
            </value>
          </item>
        </enum>
      </elements>
    </policy>

在其中添加一段，displayName设为NotE：

          <item displayName="$(string.NotE)">
            <value>
              <decimal value="67108847" />
            </value>
          </item>

value的计算：

low 26 bits on (1 bit per drive)

可以看出：

即，用26位二进制数字代表26个盘符的组合：

• 最低位代表A，最高位代表Z；
• 每一位代表一个盘符，为1代表限制这个盘符，为0代表不限制

所以，要设置仅允许访问E盘，也就是限制除了E之外的所有盘符，二进制数应该是：

ZYXWVUTSRQPONMLKJIHGFEDCBA
11 1111 1111 1111 1111 1110 1111

换算为十进制，得到value值应为：67108847

3.最后一步

对于使用中文的系统，在** C:\Windows\SYSVOL\sysvol\xxx.com\Policies\PolicyDefinitions\zh-CN **中找到WindowsExplorer.adml文件，同样用记事本打开，找到如下stringtable代码段：

    <stringTable>
      <string id="ABCDOnly">仅限制驱动器 A、B、C 和 D</string>
      <string id="ABConly">仅限制驱动器 A、B 和 C</string>
      <string id="ABOnly">仅限制驱动器 A 和 B</string>
      <string id="ALLDrives">限制所有驱动器</string>
      <string id="ClassicShell">启用经典外观</string>
      <string id="ClassicShell_Help">此设置允许管理员将特定的 Windows Shell 行为还原到经典外观行为。

在其中添加一句：

<string id="NotE">限制除E外所有驱动器</string>

最后，去隐藏“我的电脑”中的这些指定的驱动器和防止从“我的电脑”访问驱动器中选择启用刚刚增加的** 限制除E外所有驱动器 **即可。

Windows Server 2008 R2控制站点隐藏并限制访问任意盘符的组策略配制方法

原文：http://www.cnblogs.com/Cheng-zi/p/5727700.html