域組策禁用U盤的使用方法

1、域組策禁用U盤的使用方法1、首先你要具備一臺(tái)裝有Windows Server2003操作系統(tǒng)服務(wù)器，再次你要配置域服務(wù)器，如下圖：2、找到域控制器(Active Directory)，我簡(jiǎn)稱它為AD,點(diǎn)擊管理AD中的用戶和計(jì)算機(jī)，會(huì)出現(xiàn)下圖：3、右擊Domain Controllers后，點(diǎn)擊屬性會(huì)出現(xiàn)下圖：4、選擇“組策略”，點(diǎn)擊組策略對(duì)象鏈接，再雙擊它，會(huì)出現(xiàn) 下圖：5、照?qǐng)D點(diǎn)擊到“注冊(cè)表”，右擊“注冊(cè)表”后點(diǎn)擊“添加項(xiàng)”， 照?qǐng)D上的路徑添加那兩項(xiàng)。注意添加圖上那兩項(xiàng)時(shí)的前提是你的 域服務(wù)器注冊(cè)表(“開(kāi)始”-“運(yùn)行”-輸入命令“regedit”就會(huì)打開(kāi)注冊(cè)表）將圖上那兩項(xiàng)修改了。我具體說(shuō)明

2、下它們的修 改值。第一項(xiàng)如圖：它項(xiàng)中的WriteProtect值默認(rèn)為“0”，更改為“1”。第二項(xiàng)如下圖：盤蹲瓣蟀一13回區(qū)1文件*編輯如 查看世）收藏夾 幫助Top ip Tcpip6 THFIFE THTCF T ermLUlTermServi t Themes TlrutSvr Toside TrkWks TSDDLI+ HI JTip uagp35 Udfs ufad_ws60 UfflWdf Update upnphost ITS usbccgfi usbehci u mb hub usbohciusbprintfit| Ermin usbubiciusb名稱類型數(shù)據(jù)曾獻(xiàn)認(rèn)7REG_

3、SZ檄值未設(shè)置）蘭Eli splayN：diri eFLEG_SZUSB大容星存儲(chǔ)設(shè)備Ko ErrorControlKEG_I也 iRIiPkoooooooi蘭Im ageP athFLEG_EXFWi_SZsystemMiBIVBSWSBSTOR. SXSStartKEG-DWURIi0 x00000003 EEGJj 和 RIi000000001 ：(!)我的 J?gjHKET LOCAL MACHINESYSTEMEurreiitCoiitrolSetSerVi；aesuSbSt3r將其中的Start的值改為“4”，默認(rèn)值為“3”表示啟用。6、添加完“注冊(cè)表”的那兩項(xiàng)后，關(guān)閉所有，在“開(kāi)

4、始”一“運(yùn) 行”一輸入命令“gpupdate”后完成。7、所有加入域中的計(jì)算機(jī)的U盤就被禁用了。另外還有種腳本 法也可禁用U盤，我沒(méi)有采用那種方法，一是它的腳本語(yǔ)言復(fù)雜， 二是我想用最簡(jiǎn)單的方法去實(shí)現(xiàn)禁止U盤的使用。上述方法本人在虛擬機(jī)中已經(jīng)實(shí)現(xiàn)U盤的禁用?？梢杂媒M策略屏蔽U盤（操作說(shuō)明比較長(zhǎng)需要點(diǎn)耐心看完） 實(shí)現(xiàn)方法：1、在域控制器上打開(kāi)Active Directory用戶和計(jì)算機(jī)，找到您要屏蔽U盤的 組織單位（Organizational Unit簡(jiǎn)稱OU），右鏈屬性，點(diǎn)擊組策略頁(yè)面，新建 一個(gè)組策略，命名并保存為“屏蔽U盤”，建好后，雙擊“屏蔽U盤”（必需先打開(kāi) 一次，否則系統(tǒng)不會(huì)拷貝那

5、幾個(gè)模板文件），在打開(kāi)的標(biāo)題為“組策略”的窗口的 左邊，按以下順序定位“用戶配置一管理模板-Windows組件-Windows資源管理 器”，我們可以看到有“隱藏我的電腦中的這些指定的驅(qū)動(dòng)器”和“防止從我的電腦 訪問(wèn)驅(qū)動(dòng)器”，雙擊打開(kāi)其中一項(xiàng)策略，選擇啟用”，下面的下拉框會(huì)變亮，單擊 下拉框，您會(huì)發(fā)現(xiàn)系統(tǒng)提供了 7種限制訪問(wèn)驅(qū)動(dòng)器號(hào)的組合，其中也包括了“不 限制驅(qū)動(dòng)器”，顯然，這些組合不能滿足要求（因?yàn)閁盤的盤符通常是排在最后 的，而且現(xiàn)在的硬盤比較大，少則也有三四個(gè)分區(qū)）。2、在域控制器上打開(kāi)Active Directory用戶和計(jì)算機(jī)，在剛才新建的屏蔽U 盤”策略上單擊右鍵選擇查看屬性，找

6、到”屏蔽U盤”的組策略的唯一的名稱，此 名稱為一長(zhǎng)串?dāng)?shù)字和字母組成，記下此字符串。3、打開(kāi)系統(tǒng)盤，定位以命名的文件夾，此文件夾位于“C:WINNTSYSVOLPoliciesnT(盤符依賴于您安裝的操作系統(tǒng)所 在的分區(qū))，注意其中是您的Windows 2000的域名，打開(kāi)目錄， 找到ADM目錄下的system.adm文件，此文件是我們?cè)趯?shí)施組策略的模板文件， 是一個(gè)純文本文件，可用記事本打開(kāi)，找到下面這兩段代碼：* POLICY !NoDrivesEXPLAIN !NoDrives_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDV

7、ALUENAME NoDrivesVALUE NUMERIC 3VALUE NUMERIC 4VALUE NUMERIC 8VALUE NUMERIC 7VALUE NUMERIC 15ITEMLISTNAME !ABOnlyNAME !COnlyNAME !DOnlyNAME !ABConlyNAME !ABCDOnlyNAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT;low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND P

8、OLICY* POLICY !NoViewOnDriveEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME NoViewOnDriveITEMLISTNAME !ABOnlyNAME !COnlyNAME !DOnlyNAME !ABConlyVALUE NUMERIC 3VALUE NUMERIC 4VALUE NUMERIC 8VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUM

9、ERIC 67108863 DEFAULT;low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY說(shuō)明：這是兩個(gè)策略，第一個(gè)!NoDrive，它的作用是在我的電腦中不顯示指 定的驅(qū)動(dòng)器名，驅(qū)動(dòng)器號(hào)代表的所有驅(qū)動(dòng)器不出現(xiàn)在標(biāo)準(zhǔn)的打開(kāi)對(duì)話框上，但是 在地址欄中輸入盤符或新建一個(gè)指向硬盤盤符的快捷方式，用戶仍然可以訪問(wèn)該 驅(qū)動(dòng)器；第二個(gè)!NoViewOnDrive的作用是阻止用戶訪問(wèn)驅(qū)動(dòng)器。可以阻止上述 情況的出現(xiàn)，但是僅僅用第二個(gè)的話，用戶可以看見(jiàn)該驅(qū)動(dòng)器的盤符

10、，但不能訪 問(wèn)，一般情況，兩個(gè)同時(shí)使用，可以達(dá)到比較理想的效果。仔細(xì)觀察上述代碼，不難發(fā)現(xiàn)，其中一共有7個(gè)NAME項(xiàng)，正好和我們圖2 下拉框中的一一對(duì)應(yīng)，后面的VALUE NUMERIC按照l(shuí)ow 26 bits on (1 bit per drive)的規(guī)則取值，low 26 bits on的意思說(shuō)值為26位的二進(jìn)制，最多可指定26 個(gè)驅(qū)動(dòng)器盤符，而1 bit per drive則代表1位代表1個(gè)驅(qū)動(dòng)器，舉例說(shuō)A=1，B=2, C=4，D=8，E=16，F(xiàn)=32，G=64，H=128，256，由低到高，以此類推。我 們可根據(jù)我們的需要修改此代碼段，假如我們要隱藏A、B、C、F、G、H、I，

11、您可以根據(jù)您的需要而定，推薦隱藏的盤符數(shù)量應(yīng)該大于您的現(xiàn)有的盤符數(shù)加上 您客戶端所有的USB接口數(shù)(防止有人同時(shí)插入幾個(gè)U盤)。那么我們計(jì)算出 VALUE NUMERIC 的數(shù)值 A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487, 在兩個(gè)策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 487隨后，移到System.adm文件的末尾，在ABConly=僅限制驅(qū)動(dòng)器A、B和 C下面插入一行數(shù)據(jù)，ABCFGHIOnly=僅限制驅(qū)動(dòng)器A、B、C、F、G、H、I等于號(hào)后引號(hào)內(nèi)的

12、說(shuō)明您可以根據(jù)自己的喜好定義，它將會(huì)顯示在如圖2的下拉 框中。保存后，打開(kāi)“屏蔽U盤”策略，定位“用戶配置-管理模板-Windows組件 -Windows資源管理器”，在右邊的窗口中雙擊“隱藏我的電腦中的這些指定的驅(qū) 動(dòng)器”或“防止從我的電腦訪問(wèn)驅(qū)動(dòng)器”其中的一個(gè)，點(diǎn)擊“啟用”，再點(diǎn)擊下拉框， 您會(huì)發(fā)現(xiàn)您多了一個(gè)選項(xiàng)。這時(shí)候，您只要在您想屏蔽的用戶的組織單位上應(yīng)用此策略，保存后，包含于 該組織單位下的用戶登錄時(shí)，便會(huì)發(fā)現(xiàn)他的U盤插上后，系統(tǒng)雖能識(shí)別并正確 安裝驅(qū)動(dòng)，但在“我的電腦”中卻無(wú)法看見(jiàn)，并且通過(guò)其他方法也無(wú)法訪問(wèn)，包括 在地址欄中輸入盤符。至此，全部設(shè)置完畢，讓你的客戶段使用此OU下的

13、用戶登錄就可以了其他注意事項(xiàng)：1、這種方法在您的客戶端很多的時(shí)候，很方便，您只要確?？蛻舳说卿浻脩?屬于您已應(yīng)用此組策略的OU下即可，如果暫時(shí)需要允許他使用U盤，那只要 把該用戶移出此OU，該用戶再注銷重新登錄一下就OK。2、需要注意的是，您在OU中建立用戶時(shí)，用戶缺省是屬于Domain users 組，這對(duì)于大多數(shù)軟件來(lái)說(shuō)沒(méi)有問(wèn)題，但會(huì)使有些軟件無(wú)法安裝或運(yùn)行，您可以 賦予這些用戶在客戶端本機(jī)的Power user組的權(quán)限，即可解決。3、注意這種方法同時(shí)也屏蔽了您的光驅(qū)盤符，光驅(qū)也是不能訪問(wèn)的。當(dāng)然U 盤都屏蔽了，我想光驅(qū)就更該屏蔽了，呵呵！如果實(shí)在要訪問(wèn)，可以在計(jì)算機(jī)管 理中的磁盤管理中賦予光驅(qū)一個(gè)靠后的盤符即可。4、OU是可以嵌套的，客戶端組策略的應(yīng)用是從域根到OU再到子OU，而且 是可以覆蓋的，除非您選定了“阻止策略繼承”。如果您在父OU上設(shè)置了屏蔽U 盤，但在子OU中又取消了屏蔽，那么客戶端的U盤是不會(huì)被屏蔽的。5、如果您在一個(gè)OU中設(shè)置了此