1.概述

    虽然之前对citrix服务器做了安全加固，对citrix本地磁盘做了隐藏，但是还是会出现用户通过citrix服务器上面的“我的文档”、“桌面”往citrix服务器下载或保存文件，因此需要想办法对这种方法做禁止。     总的思路：通过域控制器上面的组策略，设定用户的“我的文档”、“桌面”文件夹的重定向到域控的一个共享目录下面，然后通过计划任务方式，命令行设定共享目录下面的用户文件夹为users组用户拒绝写入权限。测试过如果提交将重定向目录设置为拒绝写入，因为用户目录无法创建，导致无法进行文件夹重定向。2.  配置步骤2.1. 创建重定向文件夹     在域控上面命令行或手工创建如下目录（如果有两台域控只需在一台上面创建）： C:\>mkdir e:\RedirectFolder\Desktop C:\>mkdir e:\RedirectFolder\MyDocuments 2.2.    设定共享及共享权限    在域控上面设定文件夹隐藏共享，并且共享权限为everyone完全控制，同时需要确保该共享文件夹NTFS权限为system用户完全控制。 2.3.  编辑组策略    在域控上面通过运行gpmc.msc打开组策略管理器，对域组策略进行编辑，用户配置->windows设置->文件夹重定向，设置我的文件和桌面文件夹的重定向。  2.4. 进行组策略过滤    gpmc.msc可以很方便的对组策略的实施进行过滤，点组策略右边的委派，高级，添加administrator用户，并勾选拒绝应用组策略。 2.5. 下载并修改XCACLS.vbs文件 http://www.microsoft.com/en-us/download/confirmation.aspx?id=19419 下载后的XCacls_Installer.exe文件其实是个自解压文件，双机解压到c:\windows目录下，解压后的文件名为XCACLS.vbs。如果需要在winddows 2008上面运行，需要打开XCACLS.vbs文件，查找Function IsOSSupported()，把这一行Case "5.0", "5.1", "5.2"更改为Case "5.0", "5.1", "5.2", "6.1"2.6. 编辑ChangerRedirectfolder.bat文件 ChangerRedirectfolder.bat文件建议放到c:windows目录下，文件内容为： cscript.exe C:\WINDOWS\xcacls.vbs e:\RedirectFolder\Desktop\* /S /E /D users:w cscript.exe C:\WINDOWS\xcacls.vbs e:\RedirectFolder\MyDocuments\* /S /E /D users:w2.7. 创建计划任务执行ChangerRedirectfolder.bat文件

可以修改计划任务属性，缩短执行时间，否则一天执行一次也可以，主要是要修改后续新增用户的目录的属性。

本文转自 碧云天 51CTO博客，原文链接：http://blog.51cto.com/333234/1135360，如需转载请自行联系原作者