1.概述
虽然之前对citrix服务器做了安全加固,对citrix本地磁盘做了隐藏,但是还是会出现用户通过citrix服务器上面的“我的文档”、“桌面”往citrix服务器下载或保存文件,因此需要想办法对这种方法做禁止。
总的思路:通过域控制器上面的组策略,设定用户的“我的文档”、“桌面”文件夹的重定向到域控的一个共享目录下面,然后通过计划任务方式,命令行设定共享目录下面的用户文件夹为users组用户拒绝写入权限。测试过如果提交将重定向目录设置为拒绝写入,因为用户目录无法创建,导致无法进行文件夹重定向。
2. 配置步骤
2.1. 创建重定向文件夹
在域控上面命令行或手工创建如下目录(如果有两台域控只需在一台上面创建):
C:\>mkdir e:\RedirectFolder\Desktop
C:\>mkdir e:\RedirectFolder\MyDocuments
2.2. 设定共享及共享权限
在域控上面设定文件夹隐藏共享,并且共享权限为everyone完全控制,同时需要确保该共享文件夹NTFS权限为system用户完全控制。
2.3. 编辑组策略
在域控上面通过运行gpmc.msc打开组策略管理器,对域组策略进行编辑,用户配置->windows设置->文件夹重定向,设置我的文件和桌面文件夹的重定向。
2.4. 进行组策略过滤
gpmc.msc可以很方便的对组策略的实施进行过滤,点组策略右边的委派,高级,添加administrator用户,并勾选拒绝应用组策略。
2.5. 下载并修改XCACLS.vbs文件
http://www.microsoft.com/en-us/download/confirmation.aspx?id=19419
下载后的XCacls_Installer.exe文件其实是个自解压文件,双机解压到c:\windows目录下,解压后的文件名为XCACLS.vbs。如果需要在winddows 2008上面运行,需要打开XCACLS.vbs文件,查找Function IsOSSupported(),把这一行Case "5.0", "5.1", "5.2"更改为Case "5.0", "5.1", "5.2", "6.1"
2.6. 编辑ChangerRedirectfolder.bat文件
ChangerRedirectfolder.bat文件建议放到c:windows目录下,文件内容为:
cscript.exe C:\WINDOWS\xcacls.vbs e:\RedirectFolder\Desktop\* /S /E /D users:w
cscript.exe C:\WINDOWS\xcacls.vbs e:\RedirectFolder\MyDocuments\* /S /E /D users:w
2.7. 创建计划任务执行ChangerRedirectfolder.bat文件
可以修改计划任务属性,缩短执行时间,否则一天执行一次也可以,主要是要修改后续新增用户的目录的属性。
本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1135360,如需转载请自行联系原作者
