禁止citrix用户通过我的文档、桌面往citrix服务器上保存文件的方法-阿里云开发者社区

开发者社区> 开发与运维> 正文

禁止citrix用户通过我的文档、桌面往citrix服务器上保存文件的方法

简介:

1.概述
    虽然之前对citrix服务器做了安全加固,对citrix本地磁盘做了隐藏,但是还是会出现用户通过citrix服务器上面的“我的文档”、“桌面”往citrix服务器下载或保存文件,因此需要想办法对这种方法做禁止。
    总的思路:通过域控制器上面的组策略,设定用户的“我的文档”、“桌面”文件夹的重定向到域控的一个共享目录下面,然后通过计划任务方式,命令行设定共享目录下面的用户文件夹为users组用户拒绝写入权限。测试过如果提交将重定向目录设置为拒绝写入,因为用户目录无法创建,导致无法进行文件夹重定向。
2.  配置步骤
2.1. 创建重定向文件夹
    在域控上面命令行或手工创建如下目录(如果有两台域控只需在一台上面创建):
C:\>mkdir e:\RedirectFolder\Desktop
C:\>mkdir e:\RedirectFolder\MyDocuments
2.2.    设定共享及共享权限
   在域控上面设定文件夹隐藏共享,并且共享权限为everyone完全控制,同时需要确保该共享文件夹NTFS权限为system用户完全控制。 
2.3.  编辑组策略
   在域控上面通过运行gpmc.msc打开组策略管理器,对域组策略进行编辑,用户配置->windows设置->文件夹重定向,设置我的文件和桌面文件夹的重定向。
 
2.4. 进行组策略过滤
   gpmc.msc可以很方便的对组策略的实施进行过滤,点组策略右边的委派,高级,添加administrator用户,并勾选拒绝应用组策略。 
2.5. 下载并修改XCACLS.vbs文件
http://www.microsoft.com/en-us/download/confirmation.aspx?id=19419
下载后的XCacls_Installer.exe文件其实是个自解压文件,双机解压到c:\windows目录下,解压后的文件名为XCACLS.vbs。如果需要在winddows 2008上面运行,需要打开XCACLS.vbs文件,查找Function IsOSSupported(),把这一行Case "5.0", "5.1", "5.2"更改为Case "5.0", "5.1", "5.2", "6.1"
2.6. 编辑ChangerRedirectfolder.bat文件
ChangerRedirectfolder.bat文件建议放到c:windows目录下,文件内容为:
cscript.exe C:\WINDOWS\xcacls.vbs e:\RedirectFolder\Desktop\* /S /E /D users:w
cscript.exe C:\WINDOWS\xcacls.vbs e:\RedirectFolder\MyDocuments\* /S /E /D users:w
2.7. 创建计划任务执行ChangerRedirectfolder.bat文件

可以修改计划任务属性,缩短执行时间,否则一天执行一次也可以,主要是要修改后续新增用户的目录的属性。




本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1135360,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章