Laufwerke ausblenden in Windows 7 mit GPO, Kixtart, Powershell

Laufwerke im Windows-ExplorerUnter bestimmten Umständen möchte man nicht, dass Anwender alle auf einem PC verfügbaren Laufwerke sehen können. Das trifft besonders auf Terminal-Server zu, auf denen häufig das Laufwerk ausgeblendet werden soll, auf dem sich die Windows-Installation befindet, also in der Regel c:. Diesem Zweck dienen zwei Registry-Einstellungen, die allerdings relativ umständlich berechnet werden müssen. Das kostenlose HideCalc übernimmt diese Aufgabe und erstellt dafür automatisch ADM- oder ADMX-Templates sowie Powershell- und Kixtart-Scripts.

Um bestimmte Laufwerke vor den Benutzern zu verbergen, sind in der Registry 2 Schlüssel unter HKCU\Software\­Microsoft\­Windows\­CurrentVersion\­Policies\­Explorer zuständig. Der eine heißt NoDrives, der andere NoViewOnDrive. Der erste sorgt dafür, dass ausgewählte Laufwerke nicht im Arbeitsplatz aufscheinen oder in den Standarddialogen wie für das Öffnen von Dateien nicht angezeigt werden.

Die Inhalte der betreffenden Laufwerke sind aber uneingeschränkt zugänglich, wenn der User explizit dorthin wechselt. Der Schlüssel NoViewOnDrive soll genau dies verhindern. Ist er für ein Laufwerk gesetzt, dann können Anwender zwar noch durch den Verzeichnisbaum navigieren, aber dann im Explorer keine darin enthaltenen Dateien sehen.

Nur wenige Optionen über Standard-Template

Über die Gruppenrichtlinien lassen sich Laufwerke nur in wenigen vorgegebenen Kombinationen ausblenden.Der Gruppenrichtlinieneditor bietet in den Administrativen Vorlagen unter Windows-Komponenten => Windows Explorer für beide Schlüssel die Einstellungen Diese angegebenen Datenträger im Fenster "Arbeitsplatz" ausblenden und Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen. Allerdings lassen sich damit nur die Laufwerke A: bis D: in verschiedenen Kombinationen ausblenden, so dass sich diese Einstellungen für Netzlaufwerke zumeist nicht eignen.

Für wen die starren Vorgaben aus der WindowsExplorer.admx nicht auseichen, muss daher den numerischen Wert für andere Laufwerkskombinationen selbst errechnen. Dies ist nicht ganz einfach, weil für die Einstellung die untersten 26 Bit des 32-Bit-DWORD verwendet werden, also immer ein Bit pro Laufwerk. Der benötigte Wert muss aus der erstellten Bit-Maske abgeleitet werden.

Berechnung der Bit-Mask

Die Aufgabe kann man HideCalc übertragen, das eine einfache Oberfläche bietet, über die man die Laufwerke per Checkbox auswählt, die man ausblenden möchte. Das Tool berechnet dann automatisch den Wert, der in die beiden Registry-Schlüssel NoDrives und NoViewOnDrive übernommen werden soll.

HideCalc erlaubt die Auswahl der Laufwerke, die ausgeblendet werden sollen, und berechnet den Wert für die Registry-Schlüssel.

Erzeugung von ADM, ADMX, Powershell und Kixtart

Darüber hinaus unterstützt HideCalc mehrere Verfahren, um die Einstellungen an die Clients zu verteilen. Dazu gehört das Erzeugen von ADM- und ADMX-Vorlagen, die man anschließend in die entsprechenden Verzeichnisse kopiert (im Fall von ADMX ist das \Windows\PolicyDefinitions bzw. \Windows\PolicyDefinitions\de-DE für die ebenfalls generierte ADML-Datei, bei einer zentralen Ablage ist es SYSVOL\<domain>\policies\PolicyDefinitions\).

Wer die Einstellungen über Login-Scripts setzen möchte, für den erzeugt HideCalc wahlweise ein Powershell- oder Kixtart-Script. Eine weitere Option besteht schließlich in der Generierung einer .reg-Datei, die sich primär für Workgroup-Umgebungen eignet.

Den gleichen Zweck wie HideCalc erfüllt das ebenfalls kostenlose GPHideDrive von Smart-X. Allerdings ist es nur in der Lage, die unter XP und Windows Server 2003 üblichen ADM-Templates zu erstellen.

1 Kommentar

Bild von Norman
Norman (Besucher) sagt:

Laufwerke sind augenscheinlich gesperrt und unsichtbar, aber sobald ich z.b mit dem Editor von windows -> datei öffnen -> und als dateiname das gesperrte laufwerk angebe (z.b. c:) dann kann ich trotz sperre auf dem laufwerk browsen, löschen und manipulieren. eine idee wie man sowas verhindert?

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht angezeigt. Wenn mit Ihrer angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen