默认情况下,Citrix Desktop用户在访问XenDesktop虚拟桌面时,是可以查看所有硬盘资源的,而这种情况下,当这台虚拟系统分配给多个不同用户时,就会存在某些安全隐患。
我们可以通过结合域策略限制的方式来实现对Citrix Desktop用户可访问磁盘资源的限制,具体方法如下。
测试软件环境:
AD OS:Windows 2008 Server R2
XenDesktop OS:Windows 2008 Server R2
XenDesktop版本:Citrix XenDesktop 5.5
虚拟桌面代理计算机:Windows XP SP3
测试目标:
Citrix用户登陆虚拟桌面后,能够实现如下目标:
1、 不显示C盘;
2、 无法从“资源管理器”地址栏中访问C盘,不影响其它分区的访问;
3、 无法执行开始“运行”菜单或调用“运行”窗口;
配置步骤:
步骤一:域策略配置
登陆AD,打开“组策略编辑器”,新建一条策略,修改如下几项策略项。
1、打开“用户设置”—>“策略”—>“管理模板”—>“Windows资源管理器”,启用“隐藏”我的电脑”中的这些指定的驱动器”,并指定隐藏C盘;
作用:
从“我的电脑”和 Windows 资源管理器中删除代表所选硬件驱动器的图标。并且,代表所选驱动器的驱动器号不出现在标准的“打开”对话框中。
要使用此设置,请在下拉列表中选择一个驱动器或多个驱动器的组合。要显示所有驱动器,请禁用此设置或在下拉列表中选择“不限制驱动器”选项。
注意: 此设置将删除驱动器图标。用户仍可使用其他方法访问驱动器的内容,如通过在“映射网络驱动器”对话框、“运行”对话框或命令窗口中键入一个驱动器上的目录路径。
同时,此设置不会阻止用户使用程序访问这些驱动器或其内容,也不会防止用户使用“磁盘管理”管理单元查看并更改驱动器特性。
请参阅“防止从‘我的电脑’访问驱动器”设置。
注意: 对于具有 Windows 2000 或更新版本证书的第三方应用程序,要求遵循此设置。
2、打开“用户设置”—>“策略”—>“管理模板”—>“Windows资源管理器”,启用“阻止从”我的电脑”访问驱动器”,并指定阻止通过“我的电脑”访问C盘;
作用:
防止用户使用“我的电脑”访问所选驱动器的内容。
如果启用此设置,则用户可以浏览“我的电脑”或 Windows 资源管理器中所选驱动器的目录结构,但是无法打开文件夹或访问其中的内容。此外,他们也无法使用“运行”对话框或“映射网络驱动器”对话框来查看这些驱动器上的目录。
若要使用此设置,请从下拉列表中选择一个驱动器或多个驱动器的组合。若要允许访问所有驱动器目录,请禁用此设置或从下拉列表中选择“不限制驱动器”选项。
注意: 代表指定驱动器的图标仍会出现在“我的电脑”中,但是如果用户双击这些图标,则会出现一条消息来解释设置防止这一操作。
同时,此设置不会防止用户使用程序来访问本地驱动器和网络驱动器。也不会防止他们使用“磁盘管理”管理单元查看并更改驱动器特性。
请参阅“隐藏‘我的电脑’中的这些指定的驱动器”设置。
3、打开“用户设置”—>“策略”—>“管理模板”—>“”开始菜单”任务栏”,启用“从”开始”菜单中删除”运行”菜单”;
作用:
允许您从「开始」菜单、Internet Explorer 和“任务管理器”中删除“运行”命令。
如果启用此设置,则会发生下列更改:
(1)“运行”命令从「开始」菜单中删除。
(2)“新建任务(运行)”命令从“任务管理器”中删除。
(3) 阻止用户在 Internet Explorer 地址栏中输入下列各项:
--- UNC 路径: \\
---访问本地驱动器: 例如,C:
---访问本地文件夹: 例如,\temp>
此外,使用扩展键盘的用户无法再通过按应用程序键(具有 Windows 徽标的键)+ R 来显示“运行”对话框。
如果禁用或不配置此设置,用户可以访问「开始」菜单和“任务管理器”的“运行”命令,以及使用 Internet Explorer 地址栏。
注意: 此设置仅影响指定的界面。不会阻止用户使用其他方法运行程序。
注意: 对于有 Windows 2000 或更新版本的证明的第三方应用程序,要求附加此设置。
最终策略配置项:
最终策略配置项目如下。
步骤二:链接GPO
将步骤一配置的域策略(GPO)链接至Citrix用户所在的OU上。
方法,在需要链接GPO的OU右键菜单中选择“链接现有GPO”,然后选择步骤一配置的GPO,即可。
测试效果:
使用步骤二中OU内的用户通过WI登陆虚拟桌面,检测测试效果,如下。
1、不显示C盘;
打开资源管理器(即,“我的电脑”),可以看到未显示C盘。
2、无法从“资源管理器”地址栏中访问C盘,不影响其它分区的访问;
在“资源管理器”地址栏中输入“c:”后按回车键,发现提示“本次操作由于计算机的限制而被取消,请与您的系统管理员联系。”,而无法访问C盘。
可以打开除C盘外的分区。
3、 无法执行开始“运行”菜单或调用“运行”窗口;
点击“开始”菜单,发现“运行”菜单已经消失。
无法再通过按应用程序键(具有 Windows 徽标的键)+ R 来显示“运行”对话框,提示“本次操作由于计算机的限制而被取消,请与您的系统管理员联系。”,而无法打开“运行”窗口。
测试总结:
通过上面的测试,我们可以看到,通过结合域策略,可以实现对Citrix用户虚拟桌面用户权限的控制,从而实现不同的管理需求。
注:Windows组策略是一个庞大且不断扩展的Windows管理工具,我们可以通过此工具实现各种各样管理需求,具体配置请参考Windows组策略管理相关书籍。
李政
2011-10-10