XenDesktop结合域策略限制 可访问的磁盘资源

默认情况下,Citrix Desktop用户在访问XenDesktop虚拟桌面时,是可以查看所有硬盘资源的,而这种情况下,当这台虚拟系统分配给多个不同用户时,就会存在某些安全隐患。

我们可以通过结合域策略限制的方式来实现对Citrix Desktop用户可访问磁盘资源的限制,具体方法如下。

测试软件环境:

AD OS:Windows 2008 Server R2

XenDesktop OS:Windows 2008 Server R2

XenDesktop版本:Citrix XenDesktop 5.5

虚拟桌面代理计算机:Windows XP SP3

测试目标:

Citrix用户登陆虚拟桌面后,能够实现如下目标:

1、 不显示C盘;

2、 无法从“资源管理器”地址栏中访问C盘,不影响其它分区的访问;

3、 无法执行开始“运行”菜单或调用“运行”窗口;

配置步骤:

步骤一:域策略配置

登陆AD,打开“组策略编辑器”,新建一条策略,修改如下几项策略项。

1、打开“用户设置”—>“策略”—>“管理模板”—>“Windows资源管理器”,启用“隐藏”我的电脑”中的这些指定的驱动器”,并指定隐藏C盘;

clip_image002[6]

作用:

从“我的电脑”和 Windows 资源管理器中删除代表所选硬件驱动器的图标。并且,代表所选驱动器的驱动器号不出现在标准的“打开”对话框中。

要使用此设置,请在下拉列表中选择一个驱动器或多个驱动器的组合。要显示所有驱动器,请禁用此设置或在下拉列表中选择“不限制驱动器”选项。

注意: 此设置将删除驱动器图标。用户仍可使用其他方法访问驱动器的内容,如通过在“映射网络驱动器”对话框、“运行”对话框或命令窗口中键入一个驱动器上的目录路径。

同时,此设置不会阻止用户使用程序访问这些驱动器或其内容,也不会防止用户使用“磁盘管理”管理单元查看并更改驱动器特性。

请参阅“防止从‘我的电脑’访问驱动器”设置。

注意: 对于具有 Windows 2000 或更新版本证书的第三方应用程序,要求遵循此设置。

2、打开“用户设置”—>“策略”—>“管理模板”—>“Windows资源管理器”,启用“阻止从”我的电脑”访问驱动器”,并指定阻止通过“我的电脑”访问C盘;

clip_image004[6]

作用:

防止用户使用“我的电脑”访问所选驱动器的内容。

如果启用此设置,则用户可以浏览“我的电脑”或 Windows 资源管理器中所选驱动器的目录结构,但是无法打开文件夹或访问其中的内容。此外,他们也无法使用“运行”对话框或“映射网络驱动器”对话框来查看这些驱动器上的目录。

若要使用此设置,请从下拉列表中选择一个驱动器或多个驱动器的组合。若要允许访问所有驱动器目录,请禁用此设置或从下拉列表中选择“不限制驱动器”选项。

注意: 代表指定驱动器的图标仍会出现在“我的电脑”中,但是如果用户双击这些图标,则会出现一条消息来解释设置防止这一操作。

同时,此设置不会防止用户使用程序来访问本地驱动器和网络驱动器。也不会防止他们使用“磁盘管理”管理单元查看并更改驱动器特性。

请参阅“隐藏‘我的电脑’中的这些指定的驱动器”设置。

3、打开“用户设置”—>“策略”—>“管理模板”—>“”开始菜单”任务栏”,启用“从”开始”菜单中删除”运行”菜单”;

 clip_image007[4]

作用:

允许您从「开始」菜单、Internet Explorer 和“任务管理器”中删除“运行”命令。

如果启用此设置,则会发生下列更改:

(1)“运行”命令从「开始」菜单中删除。

(2)“新建任务(运行)”命令从“任务管理器”中删除。

(3) 阻止用户在 Internet Explorer 地址栏中输入下列各项:

--- UNC 路径: \\<server>\<share>

---访问本地驱动器: 例如,C:

---访问本地文件夹: 例如,\temp&gt;

此外,使用扩展键盘的用户无法再通过按应用程序键(具有 Windows 徽标的键)+ R 来显示“运行”对话框。

如果禁用或不配置此设置,用户可以访问「开始」菜单和“任务管理器”的“运行”命令,以及使用 Internet Explorer 地址栏。

注意: 此设置仅影响指定的界面。不会阻止用户使用其他方法运行程序。

注意: 对于有 Windows 2000 或更新版本的证明的第三方应用程序,要求附加此设置。

最终策略配置项:

最终策略配置项目如下。

clip_image009

步骤二:链接GPO

将步骤一配置的域策略(GPO)链接至Citrix用户所在的OU上。

方法,在需要链接GPO的OU右键菜单中选择“链接现有GPO”,然后选择步骤一配置的GPO,即可。

clip_image011

测试效果:

使用步骤二中OU内的用户通过WI登陆虚拟桌面,检测测试效果,如下。

1、不显示C盘;

打开资源管理器(即,“我的电脑”),可以看到未显示C盘。

clip_image013

2、无法从“资源管理器”地址栏中访问C盘,不影响其它分区的访问;

在“资源管理器”地址栏中输入“c:”后按回车键,发现提示“本次操作由于计算机的限制而被取消,请与您的系统管理员联系。”,而无法访问C盘。

clip_image015

可以打开除C盘外的分区。

clip_image017

3、 无法执行开始“运行”菜单或调用“运行”窗口;

点击“开始”菜单,发现“运行”菜单已经消失。

clip_image018

无法再通过按应用程序键(具有 Windows 徽标的键)+ R 来显示“运行”对话框,提示“本次操作由于计算机的限制而被取消,请与您的系统管理员联系。”,而无法打开“运行”窗口。

clip_image019

测试总结:

通过上面的测试,我们可以看到,通过结合域策略,可以实现对Citrix用户虚拟桌面用户权限的控制,从而实现不同的管理需求。

注:Windows组策略是一个庞大且不断扩展的Windows管理工具,我们可以通过此工具实现各种各样管理需求,具体配置请参考Windows组策略管理相关书籍。

李政

2011-10-10