XenDesktop結合域策略限制可訪問的磁盤資源

XenDesktop結合域策略限制 可訪問的磁盤資源

默認狀況下，Citrix Desktop用戶在訪問XenDesktop虛擬桌面時，是能夠查看全部硬盤資源的，而這種狀況下，當這臺虛擬系統分配給多個不一樣用戶時，就會存在某些安全隱患。

咱們能夠經過結合域策略限制的方式來實現對Citrix Desktop用戶可訪問磁盤資源的限制，具體方法以下。

測試軟件環境：

AD OS：Windows 2008 Server R2

XenDesktop OS：Windows 2008 Server R2

XenDesktop版本：Citrix XenDesktop 5.5

虛擬桌面代理計算機：Windows XP SP3

測試目標：

Citrix用戶登錄虛擬桌面後，可以實現以下目標：

一、 不顯示C盤；

二、 沒法從「資源管理器」地址欄中訪問C盤，不影響其它分區的訪問；

三、 沒法執行開始「運行」菜單或調用「運行」窗口；

配置步驟：

步驟一：域策略配置

登錄AD，打開「組策略編輯器」，新建一條策略，修改以下幾項策略項。

一、打開「用戶設置」—>「策略」—>「管理模板」—>「Windows資源管理器」，啓用「隱藏」個人電腦」中的這些指定的驅動器」，並指定隱藏C盤；

做用：

從「個人電腦」和 Windows 資源管理器中刪除表明所選硬件驅動器的圖標。而且，表明所選驅動器的驅動器號不出如今標準的「打開」對話框中。

要使用此設置，請在下拉列表中選擇一個驅動器或多個驅動器的組合。要顯示全部驅動器，請禁用此設置或在下拉列表中選擇「不限制驅動器」選項。

注意: 此設置將刪除驅動器圖標。用戶仍可以使用其餘方法訪問驅動器的內容，如經過在「映射網絡驅動器」對話框、「運行」對話框或命令窗口中鍵入一個驅動器上的目錄路徑。

同時，此設置不會阻止用戶使用程序訪問這些驅動器或其內容，也不會防止用戶使用「磁盤管理」管理單元查看並更改驅動器特性。

請參閱「防止從‘個人電腦’訪問驅動器」設置。

注意: 對於具備 Windows 2000 或更新版本證書的第三方應用程序，要求遵循此設置。

二、打開「用戶設置」—>「策略」—>「管理模板」—>「Windows資源管理器」，啓用「阻止從」個人電腦」訪問驅動器」，並指定阻止經過「個人電腦」訪問C盤；

做用：

防止用戶使用「個人電腦」訪問所選驅動器的內容。

若是啓用此設置，則用戶能夠瀏覽「個人電腦」或 Windows 資源管理器中所選驅動器的目錄結構，可是沒法打開文件夾或訪問其中的內容。此外，他們也沒法使用「運行」對話框或「映射網絡驅動器」對話框來查看這些驅動器上的目錄。

若要使用此設置，請從下拉列表中選擇一個驅動器或多個驅動器的組合。若要容許訪問全部驅動器目錄，請禁用此設置或從下拉列表中選擇「不限制驅動器」選項。

注意: 表明指定驅動器的圖標仍會出如今「個人電腦」中，可是若是用戶雙擊這些圖標，則會出現一條消息來解釋設置防止這一操做。

同時，此設置不會防止用戶使用程序來訪問本地驅動器和網絡驅動器。也不會防止他們使用「磁盤管理」管理單元查看並更改驅動器特性。

請參閱「隱藏‘個人電腦’中的這些指定的驅動器」設置。

三、打開「用戶設置」—>「策略」—>「管理模板」—>「」開始菜單」任務欄」，啓用「從」開始」菜單中刪除」運行」菜單」；

 

做用：

容許您從「開始」菜單、Internet Explorer 和「任務管理器」中刪除「運行」命令。

若是啓用此設置，則會發生下列更改:

(1)「運行」命令從「開始」菜單中刪除。

(2)「新建任務(運行)」命令從「任務管理器」中刪除。

(3) 阻止用戶在 Internet Explorer 地址欄中輸入下列各項:

--- UNC 路徑: \\<server>\<share>

---訪問本地驅動器: 例如，C:

---訪問本地文件夾: 例如，\temp&gt;

此外，使用擴展鍵盤的用戶沒法再經過按應用程序鍵(具備 Windows 徽標的鍵)+ R 來顯示「運行」對話框。

若是禁用或不配置此設置，用戶能夠訪問「開始」菜單和「任務管理器」的「運行」命令，以及使用 Internet Explorer 地址欄。

注意: 此設置僅影響指定的界面。不會阻止用戶使用其餘方法運行程序。

注意: 對於有 Windows 2000 或更新版本的證實的第三方應用程序，要求附加此設置。

最終策略配置項：

最終策略配置項目以下。

步驟二：連接GPO

將步驟一配置的域策略（GPO）連接至Citrix用戶所在的OU上。

方法，在須要連接GPO的OU右鍵菜單中選擇「連接現有GPO」，而後選擇步驟一配置的GPO，便可。

測試效果：

使用步驟二中OU內的用戶經過WI登錄虛擬桌面，檢測測試效果，以下。

一、不顯示C盤；

打開資源管理器（即，「個人電腦」），能夠看到未顯示C盤。

二、沒法從「資源管理器」地址欄中訪問C盤，不影響其它分區的訪問；

在「資源管理器」地址欄中輸入「c:」後按回車鍵，發現提示「本次操做因爲計算機的限制而被取消，請與您的系統管理員聯繫。」，而沒法訪問C盤。

能夠打開除C盤外的分區。

三、 沒法執行開始「運行」菜單或調用「運行」窗口；

點擊「開始」菜單，發現「運行」菜單已經消失。

沒法再經過按應用程序鍵(具備 Windows 徽標的鍵)+ R 來顯示「運行」對話框，提示「本次操做因爲計算機的限制而被取消，請與您的系統管理員聯繫。」，而沒法打開「運行」窗口。

測試總結：

經過上面的測試，咱們能夠看到，經過結合域策略，能夠實現對Citrix用戶虛擬桌面用戶權限的控制，從而實現不一樣的管理需求。

注：Windows組策略是一個龐大且不斷擴展的Windows管理工具，咱們能夠經過此工具實現各類各樣管理需求，具體配置請參考Windows組策略管理相關書籍。

李政

2011-10-10