Jak za pomocą GPO zablokować dostęp do dysków lokalnych lub ukryć je przed użytkownikiem?

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

Przeczytaj także...

8 komentarzy

  1. Skum4j napisał(a):

    Witam,
    chcialbym zapytac o 2 rzeczy:

    1) U mnie na windwosie 7 64b prof to nie dziala, uruchamiam gpedit.msc wybieram „ukryj okreslone tutaj dyski w moj komputer” wybieram np, dysk D klikam zastosuj. Nie dostaje komuniakatu o bledzie niby wszystko jest ok, ale nie wchodzi to w zycie. Moge normlanie dostac sie do dysku. Co ciekawe jak wybiore „Zapobieraj dostepowi do dyskow z okna Moj komputer” i wybiore dysk D to juz jest wszystko ok i nie mam dostepu ze swojego konta.

    2) Czy mozna zrobic jakos skrot do tej konkretnej funkcji np. z pulpitu ? Aby od razu edytwoac „ukryj okreslone tutaj dyski w moj komputer” ?

    Pozdrawiam
    Skum4j

    • Łukasz Skalikow napisał(a):

      1) ” Moge normlanie dostac sie do dysku” – w jaki sposób? Z poziomu „Mój Komputer”? Ustawienie „Ukryj” nie blokuje dostępu, tylko chowa ikonę dysku w oknie „Mój komputer”.

      2) Nie można tworzyć skrótów do funkcji GPO 🙁 . Jeśli szukasz sposobu na szybkie blokowanie i odblokowanie dysków, spróbuj to robić przez rejestr. Klucz, któego szukasz znajduje się w gałezi : HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer, nazywa się NoViewOnDrive
      i przyjmuje wartości: A – 1, B – 2, C – 4, D – 8, E – 16, F – 32, G – 64, H – 128, I –
      256, J – 512, K – 1024, L – 2048, M – 4096, N – 8192, O – 16384, P –
      32768, Q – 65536, R – 131072, S – 262144, T – 524288, U – 1048576, V –
      2097152, W – 4194304, X – 8388608, Y – 16777216, Z – 33554432, ALL –
      67108863

      Uwaga, zablokowanie dysków A i B daje wartość „3” bo 1 + 2 = 3. Zablokowanie dysku D i F daje wartość 40, bo 8+32=40.

    • Skum4j napisał(a):

      1) Jezeli funkcja ma ukrywac dostep z poziomu „Mój komputer” a napisałem że nie działa – to mam na myśli że w zakładce „Mój komputer” w dalszym ciągu znajduję widoczny dysk D i nie jest on ukryty.

      „Ustawienie „Ukryj” nie blokuje dostępu, tylko chowa ikonę dysku w oknie „Mój komputer”.” – Zgadza się napisałem że użyłem w drugiej kolejności „Zablokuj …” i faktycznie dostęp został zablokowany. Opcja „ukryj” ma za zadanie ukrywać, a „Zablokuj” ma blokować – całkiem logiczne i nie neguje tego. Sęk w tym że opcja „ukryj” nie ukrywa.

      2) Skrót przez rejestr to całkiem ciekawe rozwiązanie.

      Klucz o nazwie „NoViewOnDrive” jest widoczny w rejestrze tylko wtedy, gdy jest włączona także inna funkcja GPO o nazwie „Zapobieraj dostepowi do dyskow z okna Moj komputer” ( nawet gdy jest ustawione że do żadnego dysku ma nie być blokowany dostęp ). Gdy wyłączam ww. funkcje to od razu znika klucz o którym piszesz.

      Gdy już jest on widoczny, to klucz ten przyjmuje dokladnie takie wartosci jak napisales np. „8” dla „Ukryj dysk D”. Jednak tak jak napisalem w pkt.1 na moim komputerze dyski nie sa ukrywane ( probowalem tez kombinacje z innymi dyskami).

      Może komuś się przyda, https://support.microsoft.com/pl-pl/kb/231289/pl

    • Skum4j napisał(a):

      Mogę liczyć na pomoć w tej kwestii ?

    • Łukasz Skalikow napisał(a):

      Hejka. Zacznijmy od punktu 1, czyli „funkcja UKRYJ nie ukrywa”. Muszę wykorzystać standardową odpowiedź wrednego admina „u mnie działa” 🙂

      Spróbujmy więc to zdebugować. Zaaplikuj to samo ustawienie przez Local Group Policy, czyli konsolę „gpedit”. LGP ma pierwszeństwo nad GPO. Powiedz czy działa. Efekt powinien byc natychmiastowy – wystarczy odświeżyć zawartość MY COMPUTER i odpowiedni dysk zniknie z listy.

      W miarę możliwości przetestuj to na maszynie na której wcześniej nie testowałeś.

      Jeśli w LGP działa, to w konsoli GPO (gpmc) użyj „Group Policy Results” aby upewnić się, czy nie ma jakiejś polityki na wyższym posiomie, która nadpisuje ustawienia.

    • Skum4j napisał(a):

      Czesc, wiec tak – przetestowalem cala procedure na komputerze z praktycznie z taka sama konfiguracja i wszystko dziala. Na moim komputerze ta sama procedura i nie ma efektow. Uruchamiam poprzez gpedit.msc dalej „Konfiguracja użytkownikaSzablony administracyjneSkładniki systemu WindowsEksplorator Windows” i „ukryj dysk …”. I dysk dalej jest widoczny w moj komputer. Masz moze jeszcze jakis pomysl co moze byc tego powodem, ew. co jeszcze moge zrobic w tym temacie ?

    • Łukasz Skalikow napisał(a):

      To super, że na innym kompie działa.

      Może wcześniej u siebie próbowałeś jakichś innych metod do blokowania / chowania dysku? Może masz ciągle poinstalowane jakieś narzędzia firm 3cich?

      Zaloguj się na innym profilu. Może inny profil nie ma tego problemu (ustawienia o których rozmawiają działają w gałęzi HKCU i Twój rejestr może mieć coś pomieszane).

    • Łukasz Skalikow napisał(a):

      Kwestia nr 2. Skrypt który powinien ukryć dysk C:

      reg add „HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer” /v NoViewOnDrive /t REG_DWORD /d 4

      Skrypt do blokowania dostępu do dysku C:

      reg add „HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer” /v NoDrives /t REG_DWORD /d 4

      JEDNA UWAGA: WYMAGANY RESTART.

Dodaj komentarz

%d bloggers like this: