XenDesktop结合域策略限制可访问的磁盘资源
默认状况下,Citrix Desktop用户在访问XenDesktop虚拟桌面时,是能够查看全部硬盘资源的,而这种状况下,当这台虚拟系统分配给多个不一样用户时,就会存在某些安全隐患。安全
咱们能够经过结合域策略限制的方式来实现对Citrix Desktop用户可访问磁盘资源的限制,具体方法以下。网络
测试软件环境:编辑器
AD OS:Windows 2008 Server R2ide
XenDesktop OS:Windows 2008 Server R2工具
XenDesktop版本:Citrix XenDesktop 5.5测试
虚拟桌面代理计算机:Windows XP SP3代理
测试目标:server
Citrix用户登录虚拟桌面后,可以实现以下目标:blog
一、 不显示C盘;ip
二、 没法从“资源管理器”地址栏中访问C盘,不影响其它分区的访问;
三、 没法执行开始“运行”菜单或调用“运行”窗口;
配置步骤:
步骤一:域策略配置
登录AD,打开“组策略编辑器”,新建一条策略,修改以下几项策略项。
一、打开“用户设置”—>“策略”—>“管理模板”—>“Windows资源管理器”,启用“隐藏”个人电脑”中的这些指定的驱动器”,并指定隐藏C盘;
![clip_image002[6]](/link?url=https://s4.51cto.com/attachment/201110/10/20896_1318212455YAYt.jpg "clip_image002[6]")
做用:
从“个人电脑”和 Windows 资源管理器中删除表明所选硬件驱动器的图标。而且,表明所选驱动器的驱动器号不出如今标准的“打开”对话框中。
要使用此设置,请在下拉列表中选择一个驱动器或多个驱动器的组合。要显示全部驱动器,请禁用此设置或在下拉列表中选择“不限制驱动器”选项。
注意: 此设置将删除驱动器图标。用户仍可以使用其余方法访问驱动器的内容,如经过在“映射网络驱动器”对话框、“运行”对话框或命令窗口中键入一个驱动器上的目录路径。
同时,此设置不会阻止用户使用程序访问这些驱动器或其内容,也不会防止用户使用“磁盘管理”管理单元查看并更改驱动器特性。
请参阅“防止从‘个人电脑’访问驱动器”设置。
注意: 对于具备 Windows 2000 或更新版本证书的第三方应用程序,要求遵循此设置。
二、打开“用户设置”—>“策略”—>“管理模板”—>“Windows资源管理器”,启用“阻止从”个人电脑”访问驱动器”,并指定阻止经过“个人电脑”访问C盘;
![clip_image004[6]](/link?url=https://s4.51cto.com/attachment/201110/10/20896_1318212456lIeW.jpg "clip_image004[6]")
做用:
防止用户使用“个人电脑”访问所选驱动器的内容。
若是启用此设置,则用户能够浏览“个人电脑”或 Windows 资源管理器中所选驱动器的目录结构,可是没法打开文件夹或访问其中的内容。此外,他们也没法使用“运行”对话框或“映射网络驱动器”对话框来查看这些驱动器上的目录。
若要使用此设置,请从下拉列表中选择一个驱动器或多个驱动器的组合。若要容许访问全部驱动器目录,请禁用此设置或从下拉列表中选择“不限制驱动器”选项。
注意: 表明指定驱动器的图标仍会出如今“个人电脑”中,可是若是用户双击这些图标,则会出现一条消息来解释设置防止这一操做。
同时,此设置不会防止用户使用程序来访问本地驱动器和网络驱动器。也不会防止他们使用“磁盘管理”管理单元查看并更改驱动器特性。
请参阅“隐藏‘个人电脑’中的这些指定的驱动器”设置。
三、打开“用户设置”—>“策略”—>“管理模板”—>“”开始菜单”任务栏”,启用“从”开始”菜单中删除”运行”菜单”;
![clip_image007[4]](/link?url=https://s4.51cto.com/attachment/201110/10/20896_1318212457fnis.jpg "clip_image007[4]")
做用:
容许您从「开始」菜单、Internet Explorer 和“任务管理器”中删除“运行”命令。
若是启用此设置,则会发生下列更改:
(1)“运行”命令从「开始」菜单中删除。
(2)“新建任务(运行)”命令从“任务管理器”中删除。
(3) 阻止用户在 Internet Explorer 地址栏中输入下列各项:
--- UNC 路径: \\<server>\<share>
---访问本地驱动器: 例如,C:
---访问本地文件夹: 例如,\temp>
此外,使用扩展键盘的用户没法再经过按应用程序键(具备 Windows 徽标的键)+ R 来显示“运行”对话框。
若是禁用或不配置此设置,用户能够访问「开始」菜单和“任务管理器”的“运行”命令,以及使用 Internet Explorer 地址栏。
注意: 此设置仅影响指定的界面。不会阻止用户使用其余方法运行程序。
注意: 对于有 Windows 2000 或更新版本的证实的第三方应用程序,要求附加此设置。
最终策略配置项:
最终策略配置项目以下。
步骤二:连接GPO
将步骤一配置的域策略(GPO)连接至Citrix用户所在的OU上。
方法,在须要连接GPO的OU右键菜单中选择“连接现有GPO”,而后选择步骤一配置的GPO,便可。
测试效果:
使用步骤二中OU内的用户经过WI登录虚拟桌面,检测测试效果,以下。
一、不显示C盘;
打开资源管理器(即,“个人电脑”),能够看到未显示C盘。
二、没法从“资源管理器”地址栏中访问C盘,不影响其它分区的访问;
在“资源管理器”地址栏中输入“c:”后按回车键,发现提示“本次操做因为计算机的限制而被取消,请与您的系统管理员联系。”,而没法访问C盘。
能够打开除C盘外的分区。
三、 没法执行开始“运行”菜单或调用“运行”窗口;
点击“开始”菜单,发现“运行”菜单已经消失。
没法再经过按应用程序键(具备 Windows 徽标的键)+ R 来显示“运行”对话框,提示“本次操做因为计算机的限制而被取消,请与您的系统管理员联系。”,而没法打开“运行”窗口。
测试总结:
经过上面的测试,咱们能够看到,经过结合域策略,能够实现对Citrix用户虚拟桌面用户权限的控制,从而实现不一样的管理需求。
注:Windows组策略是一个庞大且不断扩展的Windows管理工具,咱们能够经过此工具实现各类各样管理需求,具体配置请参考Windows组策略管理相关书籍。
李政
2011-10-10
- 1. Tomcat访问本地磁盘资源
- 2. 网络资源的选择策略和重新访问策略
- 3. JS同源策略和跨域访问
- 4. 同源策略和跨域访问
- 5. 同源策略以及跨域访问
- 6. 同源策略及跨域访问
- 7. 同源策略与跨域访问
- 8. 跨域访问与同源策略
- 9. 同源策略和Ajax跨域访问
- 10. 跨域访问和同源策略
- 更多相关文章...
- • Swift 访问控制 - Swift 教程
- • 二级缓存的并发访问策略和常用插件 - Hibernate教程
- • Docker容器实战(六) - 容器的隔离与限制
- • 漫谈MySQL的锁机制
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Tomcat访问本地磁盘资源
- 2. 网络资源的选择策略和重新访问策略
- 3. JS同源策略和跨域访问
- 4. 同源策略和跨域访问
- 5. 同源策略以及跨域访问
- 6. 同源策略及跨域访问
- 7. 同源策略与跨域访问
- 8. 跨域访问与同源策略
- 9. 同源策略和Ajax跨域访问
- 10. 跨域访问和同源策略