Nascondere drive in client Windows 2000/XP
professional,
NT4 workstation e 9x attraverso policy di dominio
Uno dei problemi che è facile riscontrare in una rete
scolastica sono le cancellazione di files nei dischi locali. Spesso tali
cancellazioni sono dovute ad atti colposi, ma molto spesso, in particolare
quando riguardano files di sistema, la causa è dolosa.
Se il filesystem della macchina è NTFS è possibile,
come primo intervento, dare agli utenti non amministratori, e in particolare
agli studenti, diritti di sola lettura alle cartelle di sistema e dei programmi.
L'operazione, facile nell'esecuzione, è complicata dal fatto
che bisogna essere certi che l'inibizione alla scrittura non comprometta
l'attività del sistema o quella di determinati programmi.
Nei sistemi Windows 2000
ed
XP professional
le cartelle
"%SYSTEMROOT%"
(di norma quella chiamata "WINDOWS") e
"PROGRAMMI" possono essere
inibite in scrittura a tutti gli utenti, eccettuati il gruppo ADMINISTRATORS
e l'utente
SYSTEM.
Infatti in tali sistemi i profili roaming e le impostazioni
personalizzate sono depositate nella cartella del profilo collocata in
"DOCUMENTS AND SETTINGS".
In Windows NT4
la cartella
"PROFILES" è interna a "%SYSTEMROOT%", per cui è necessario
operare con accortezza sui permessi della cartella radice e di quelle interne.
Con i sistemi Windows 9x
il problema non si pone, in quanto il filesystem è di tipo FAT e non
consente di definire permissions a file o cartelle.
La soluzione al problema potrebbe essere quella di
celare il disco C:, quello di norma di sistema, lasciando magari visibili il
disco A:, una eventuale partizione per dati, il Cdrom, i dischi di rete. Oppure,
per una soluzione più radicale, mostrare solo i dischi di rete.
Windows 2000/2003 server
attraverso i
Criteri di gruppo
consente facilmente di definire quali drive mostrare e quali no.
I criteri, come è noto, agiscono solo ed
esclusivamente su client Windows 2000 professional, Windows XP professionale o
Windows 2000/2003 server.
La chiave da considerare è quella posta nella parte relativa
ai Criteri di utente, nei
Modelli amministrativi,
Componenti di Windows,
Esplora risorse:
Nell'immagine si vedono le chiavi da attivare: "Nascondi
le unità specificate in Risorse del computer" e "Impedisce l'accesso alle
unità da Risorse del computer", scegliendo la voce che interessa:
In questo caso il disco C: viene nascosto.
E' consigliabile attivare entrambi le voci. Nel caso si
attivasse solo la prima, il disco non verrebbe mostrato tra le Risorse del
computer, ma sarebbe accessibile dal menu "Salva con nome" di un
qualsiasi programma.
Dopo aver chiuso l'editor del Criterio di gruppo ed
eventualmente fatto un refresh della policy con il comando
secedit (da Esegui:
secedit /refreshpolicy user_policy /enforce)
si testerà da un client se la policy ha avuto effetto.
Nel caso si abbia a che fare con client
Windows 9x o NT4
workstation
bisogna ricordare, ancora una volta, che i Criteri di gruppo o
Group
policy non hanno effetto su questi sistemi operativi.
Per questi è necessario creare una apposita policy con il
programma Poledit, nella versione adatta al sistema operativo client (NT4
o W9x).
Nei modelli di policy, i files con estensione
ADM
che si ritrovano dopo l'installazione di Poledit, purtroppo non ne esiste uno
che contenga la policy adatta. E' quindi necessario crearsi un file ADM
adeguato.
In aiuto ci viene l' articolo Microsoft Knowledge Base
- 242092
"How to: Use System Policies to Hide Specific Drives".
In essa è descritta, passo a passo, la procedura da utilizzare in una macchina
stand-alone.
La chiave di registro interessata è questa:
|
Class
|
User (HKCU)
|
|
Registry key
|
Software\Microsoft\CurrentVersion\Policies\Explorer
|
|
Valuename
|
NoDrives
|
|
Value
|
A: 1, B: 2, C: 4, D: 8, E: 16, F: 32, G: 64,
H: 128, I: 256, J: 512, K: 1024, L: 2048, M: 4096, N: 8192, O: 16384,P: 32768,
Q: 65536, R: 131072, S: 262144, T: 524288, U: 1048576, V: 2097152, W: 4194304,
X: 8388608, Y: 16777216, Z: 33554432,
Tutti: 67108863
Per nascondere più di un
drive sommare i valori di ogni singolo drive.
Ad esempio, per nascondere A:, B:, e C:
sommare 1 + 2 + 4 =7.
Per nascondere A:, B:, C: e D:
sommare 1 + 2 + 4 + 8 = 15.
|
|
Value Type
|
Binary (REG_DWORD)
|
Volendo evitare di compiere
l'operazione su tutti i client, ci viene in aiuto la policy di dominio.
Con le informazioni della tabella è possibile creare un file
che chiameremo NODRIVE.ADM, utilizzando il blocco note. Il file potrebbe
essere, per nascondere i dischi di uso più frequente, così strutturato:
|
; Roberto
Bisceglia - www.itchiavari.org/ict
;;;;;;;;;;;;;;;;;;;;;
CLASS USER ;;;;;;;;
;;;;;;;;;;;;;;;;;;;;;
CATEGORY !!HIDEDRIVES
POLICY !!HideDrives
KEYNAME Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
PART !!HIDEDRIVES DROPDOWNLIST REQUIRED
#if version > 1
NOSORT
#endif
VALUENAME "NoDrives"
ITEMLIST
NAME !!A VALUE NUMERIC 1
NAME !!B VALUE NUMERIC 2
NAME !!C VALUE NUMERIC 4
NAME !!AB VALUE NUMERIC 3
NAME !!ABC VALUE NUMERIC 7
NAME !!CLEARALL VALUE NUMERIC 0 DEFAULT
END ITEMLIST
END PART
PART !!HIDEDRIVESTEXT1 TEXT END PART
PART !!HIDEDRIVESTEXT2 TEXT END PART
END POLICY
END CATEGORY
[STRINGS]
hidedrives="Nascondi Drives"
A="Nascondi il Drive A"
B="Nascondi il Drive B"
C="Nascondi il Drive C"
AB="Nascondi i Drive A e B"
ABC="Nascondi i Drive A, B, e C"
clearall="Non nascondere alcun drive"
hidedrivestext1="Nascondere uno o più drive da Risorse del Computer
e da Explorer"
hidedrivestext2="Nota: non usare con altre "hide drives" policies" |
Per aggiungere altri drive si seguono le regole di cui sopra.
Ad esempio, per aggiungere il drive D: si deve aggiungere la riga
NAME !!ABCD VALUE NUMERIC 15
e, in [STRINGS], ABCD="Nascondi i Drive
A, B, C e D" .
Il file così creato, scaricabile
qui, deve essere inserito nella cartella
%SYSTEMROOT%\INF (di solito
C:\WINDOWS\INF) del server Windows 2000/2003 o NT4.
Successivamente si esegue Poledit e si carica il
modello preparato, più il comune e quello relativo al sistema operativo client
(nel caso dell'immagine, NT4 workstation):
Dopo aver cliccato su "OK" si passa alla finestra di
editing delle policy. Se già una policy era stata creata si apre il file
NTCONFIG.POL (per NT4 Workstation) o CONFIG.POL
(per Windows 9x),
altrimenti se ne crea una ex-novo, come spiegato nell'articolo "Politiche
di protezione su Windows 95/98".
Definito il gruppo o gli utenti sui
quali fare influire la policy,
si definisce quali drive nascondere:
Salvato il file di configurazione, nella condivisione
NETLOGON del server si può testare da un client NT4 o 9x se tutto
funziona.
Il risultato per un client XP è questo:
mentre per un client NT4 workstation è:
In entrambi i casi è stato nascosto solo il
disco C:
La policy sopra descritta è documentata per Windows NT4 ma
dovrebbe ugualmente funzionare per i sistemi Windows 9x.
|
