Objective: วัตถุประสงค์
คู่มือการปรับแต่งค่านี้เป็นการบังคับให้ผู้ใช้งาน (User) ที่ทำการเข้าใช้งานระบบ Windows ไม่สามารถ Save ข้อมูลลงบน System Drive หรือ C:\ ได้ เพื่อบังคับให้ข้อมูลของ User ทั้งหมด เช่น My Document / Local Profile ถูก Save ลงบน D:\ และป้องกันปัญหา Local Disk C:\ มีพื้นที่ในการใช้งานไม่เพียงพอ
การปรับแต่งจำเป็นจะต้องทำการย้าย Profile Path จากเดิมที่อยู่ที่ C:\ ไปยัง D:\ และทำการปิดการเข้าถึง C:\ จาก User Interface ทั้งหมด ซึ่งเป็นการปรับแต่งโดยใช้ Registry ผสมกับ Local Group Policy
การปิดการเข้าถึง C:\ มีช่องโหว่อยู่บ้างการการใช้งานผ่าน Application ที่อาศัย Permanent Temp Path เป็น C:\ จึงจะต้องทดลองใช้กับ Application ที่จำเป็นจะต้องใช้งานหลัก ๆ ให้ครบถ้วนก่อนนำวิธีการปรับแต่งไปใช้งานจริง
Environment Test: สภาพแวดล้อมการจำลองการปรับแต่งค่า
ตัวอย่างวิธีการทำนี้ทดสอบบนระบบจำลองที่เป็น OS Version = Windows XP Service Pack 3 และใช้ User Name ตามรายการด้านล่างนี้ (หาก OS เปลี่ยน Version หน้าจอในการปรับแต่งอาจแตกต่างกันบ้างแต่วิธีการนี้ใช้ปรับแต่งได้กับ Windows ทุก Version)
· Window XP Service Pack 3
· Local User = ABC-USER (Local Administrative Privilege)
Original profile path of KTB-USER = C:\Documents and Settings\ABC-USER
โดยพื้นฐานแล้วข้อมูล Profile ของ Local Users จะถูกบันทึกไว้ที่ C:\Documents and Settings\%User Name%
ซึ่งหากไม่ย้าย Profile Path จะทำให้ User ที่นิยม Save ข้อมูลไว้ที่ Desktop หรือ My Document ใช้พื้นที่บน Local Disk C:\
ขั้นตอนในการปรับแต่งเพื่อเปลี่ยน Profile Path และป้องกันการใช้งาน C:\ มีดังต่อไปนี้
Change Profile to D:\ABC-USER: การย้ายที่จัดเก็บ Profile ของ User
Step: ขั้นตอนการทำ
ให้ทำการ Log In เข้าใช้งานด้วย User Name = ABC-User ก่อน 1 ครั้งจากนั้นให้ Log Off ออกจากระบบแล้วทำการ Log In เข้าใหม่อีกครั้งด้วย User Local Administrator
** หากหน้าจอไม่มี User = Administrator ให้เลือกให้ทำการกดปุ่ม Ctrl+Alt+Del+Del สองครั้ง
หลังจาก Log In ด้วย User = Local Administrator เรียบร้อยแล้วให้สร้าง Folder ดังรูป (เพื่อรองรับการย้าย Profile Path)
Create D:\ABC-USER Folder
จากนั้นให้เปิด User Profiles Properties ขึ้นมาโดยเปิดจากคลิกขวาที่ My Computer เลือก Properties แล้วเลือกดังต่อไปนี้ Go to System Properties > Advanced > User Profiles > Settings
เลือก User = ABC-User แล้วทำการเลือก Copy To อีกครั้ง
Select ABC-USER > Copy To
เลือกย้าย Profile ไปยัง D:\ABC-User Folder ที่ได้สร้างมาก่อนหน้านี้ และให้ Permission การเข้าถึงได้เฉพาะ ABC-USER
(Locate to new profile path = D:\ABC-USER and Permitted to use = ABC-USER)
ยืนยันการ Move Data to new path ได้เลย
Confirmed to Copy Profile
หลังจากสร้าง Folder และย้ายข้อมูล Profile ไปยัง Folder ใหม่เรียบร้อยแล้วให้เปิด Registry Editor เพื่อแก้ไขค่า Profile Path ของ user = ABC-USER โดยเปิด Registry value ด้านล่างนี้เพื่อมาแก้ไข
Locate to registry = HKEY_LOCAL_MACHINE \ SOFTWARE\ Microsoft\ Windows NT \ CurrentVersion \ ProfileList\ProfileImagePath
เลือก ProfileImagePath เพื่อเปลี่ยนค่าไปยัง Folder ใหม่
Change Profile Image Path to = D:\ABC-USER
หลังจากเปลี่ยน Profile Path เรียบร้อยแล้วให้ทำการ Restart เครื่อง 1 ครั้ง แล้วทำการ Login ด้วย
user = ABC-USER อีกครั้ง
หลังจากย้าย Profile สำเร็จแล้วให้กลับไปลบข้อมูลเดิมทิ้งด้วย โดยอยู่ใน Path ดังต่อไปนี้
Delete Old Data from C:\Documents and Settings\ABC-USER
หลังจากนั้นลองทดสอบการใช้งาน Profile Path ใหม่โดยเปิด My Pictures ขึ้นมา จะพบว่า Path ทั้งหมดได้ถูกเรียกใช้งานจาก D:\ABC-USER
The profile will locate to new Folder Path
จบขั้นตอนการย้าย Profile Path สำหรับบังคับให้ User ใช้งาน Data บน D:\
Disable User to Access C:\ : การป้องกันการเข้าถึง C:\
วัตถุประสงค์เพื่อบังคับให้ User ทำการ Save ข้อมูลที่ใช้งานลงบน Local Disk = D:\ เพื่อประหยัดพื้นที่ในการใช้งาน C:\ และง่ายต่อการ Backup / Restore ระบบโดยรวม
จากรูปด้านล่างระบบเดิมจะสามารถมองเห็น c:\ และเข้าถึงได้จาก My Computer และ Browsing File Path ผ่านเครื่องมือต่าง ๆ
Step: ขั้นตอนการทำ
บังคับใช้ 2 จุดจาก Local Group Policy ตามรูปการทำงานด้านล่าง
เปิด Local group policy โดยใช้คำสั่งผ่าน RUN = gpedit.msc
ปรับแต่งค่าของ Local Group Policy ตามรูปด้านล่าง โดยเลือกเป็น Restrict C:\ Only
Locate Group Policy = User Configuration > Windows Settings > Administrative Templates > Windows Components > Windows Explorer > Hide these specified drives in My Computer Properties
Locate Group Policy = User Configuration > Windows Settings > Administrative Templates > Windows Components > Windows Explorer > Prevent access to drives from My Computer Properties
หลังจากปรับแต่งทั้ง 2 ค่าเรียบร้อยแล้วให้ทำการ Update local Group Policy โดยใช้คำสั่ง gpupdate /force หรือทำการ Logoff / Login ใหม่อีกครั้งหนึ่ง จากนั้นระบบจะไม่สามารถเข้าถึง C:\ ได้
After policy was updated user cannot access to C:\ with My Computer or any browsing
ทดสอบการเข้าถึง C:\ ด้วยวิธีการต่าง ๆ จะไม่สามารถเข้าถึงได้ดังรูป
วิธีการปรับแต่งทั้งหมดนี้เป็นการป้องกัน user ใช้งานพื้นที่บน Local Dis = C:\ แต่ต้องทดสอบให้ครบถ้วนกับ Application ที่ User ใช้ประจำว่ามีผลในการใช้งานทั้งหมดหรือไม่