在多用户环境中使用Windows Server 2003(通过远程桌面，将其用作应用程序服务器)，如何以一种不会显示在其他用户桌面上的方式装入(最好是加密的)卷？

尝试过但失败的方法：

• 调整用户权限-无法更改已安装卷的显示。
• Bestcrypt / truecrypt。它们都为本地管理员显示该卷

解决方案

注册表中有一个密钥，用于隐藏映射的驱动器。

如果要停止出现在"我的电脑"中的驱动器的任何组合

在以下位置将" NoDrives"的二进制值添加到注册表中

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"

这是所有值的表格(请注意，我们可以累加值以隐藏多个驱动器，该值也是二进制类型，但必须以十六进制输入，因此，如果要累加几个驱动器，请准备一些十六进制数学运算)：

A 1 00 00 00
B 2 00 00 00
C 4 00 00 00
D 8 00 00 00
E 16 00 00 00
F 32 00 00 00
G 64 00 00 00
H 128 00 00 00
I 00 1 00 00
J 00 2 00 00
K 00 4 00 00
L 00 8 00 00
M 00 16 00 00
N 00 32 00 00
O 00 64 00 00
P 00 128 00 00
Q 00 00 1 00
R 00 00 2 00
S 00 00 4 00
T 00 00 8 00
U 00 00 16 00
V 00 00 32 00
W 00 00 64 00
X 00 00 128 00
Y 00 00 00 1
Z 00 00 00 2

我们将很难找到确切问题的解决方案。驱动器安装点未存储在用户级别(afaik)。我们可以使用几种无法保证安全的解决方法：

• 根据组策略隐藏对某些驱动器号的访问。不是很安全，很容易解决。
• 不要挂载单独的卷：使用NTFS加密，只需在某些文件夹上设置安全权限即可。

有没有特别的原因，它必须是一个完整的驱动器？如果我们试图避免让本地管理员拥有对本地驱动器的访问权限，那么除非我们使用第三方可能可怕的失败解决方案，否则我们将很不走运。我们可以使用组策略来评审某些事情以禁止本地管理员访问，但是这将很困难且容易出错。

如果目标是拥有其他用户无法访问的单独的文件夹(或者卷)，则将文件存储在远程服务器上。这样，应用程序服务器上的本地管理员无法任意访问其他人的文件夹。 (除非它们具有Domain Admin或者Enterprise Admin权限)我们可以设置单个大型网络驱动器，并在其上具有不同的用户文件夹，每个用户文件夹均使用NTFS /其他解决方案进行加密，并且仅对该单个用户具有读/写权限。

即使驱动器号是隐藏的，除非我们更改文件系统本身上的ACL，否则仍可访问卷，这为什么会令人讨厌呢？

NTFS支持在目录内装入卷。

示例而不是将外部驱动器安装为D：，而是可以将其安装在C：\ mountVolumes \ externalHardDrive下。

然后，我们可以在父文件夹(" mountedVolumes")上使用ACL，以防止除我们之外的其他用户访问它。如果他们无法进入该文件夹，则他们无法进入该驱动器，或者看不到它所在的位置。看起来就像是他们无法打开的文件夹。

注意：假设我们具有管理权限(至少在第一次设置时具有)，而其他人则没有(因此，他们不能只是拥有mountVolumes的所有权并进入驱动器)