如何利用AD 组策略来屏蔽U 盘.doc

如何利用AD 组策略来屏蔽U 盘如何利用AD 组策略来屏蔽U 盘等可移动磁盘如何利用AD 组策略来屏蔽U 盘最近在外面做点小方案，捞点外块，根据客户的要求，研究了一个新东西:如何利用组策略来屏蔽U 盘等可移动磁盘。一部份来自于互联网，通过分析和整理，总结如下：1、 在域控制器上打开Active Directory 用户和计算机，找到您要屏蔽U 盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U 盘”，建好后，双击“屏蔽U 盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置管理模板-Windows 组件-Windows 资源管理器”，选中Windows 资源管理器，我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，您会发现系统提供了7 种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U 盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区）。2、 在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U 盘”策略上单击右键选择查看属性，找到屏蔽U 盘的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为82F86A8E-B345-4DDC-A304-E448F6E900A9，记下此字符串。3、 打开系统盘，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夹，此文件夹位于C:WINDOWSSYSVOLsysvolhcsAD.hcPolicies（盘符依赖于您安装的操作系统所在的分区，如果安装AD 时在C 盘，默认则就是这个路径，其中hcsad.hc 则是你给这个AD 取得名字，我这里给这个域的顶级域名取为为HC，所以这里就是HCSAD.HC），打开82F86A8E-B345-4DDC-A304-E448F6E900A9目录，找到ADM 目录下的system.adm 文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：* POLICY !NoDrivesEXPLAIN !NoDrives_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME NoDrivesITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY如何利用AD 组策略来屏蔽U 盘等可移动磁盘* POLICY !NoViewOnDriveEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME NoViewOnDriveITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY说明：这是两个策略，第一个!NoDrive，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个!NoViewOnDrive 的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可以达到比较理想的效果。仔细观察上述代码，不难发现，其中一共有7 个NAME 项，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on 的意思说值为26 位的二进制，最多可指定26 个驱动器盘符，而1 bit per drive 则代表1 位代表1 个驱动器，举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此类推。我们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB 接口数（防止有人同时插入几个U 盘，呵呵,但是我建议，在做系统规划时就要注意这个问题：就是固定给所有的电脑分配几个盘，如4 个，即：CDEF，这样我们就可以利用禁掉除CDEF 所有的盘，这样就可以保证万无一失啦，哈哈）。那么我们计算出VALUE NUMERIC 的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在两个策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 487随后，利用查找命令，找到以下字段：在 ABConly=仅限制驱动器 A、B 和 C ，这一段文字，下面插入一行数据， ABCFGHIOnly=仅限制驱动器A、B、C、F、G、H、I，等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在策略的下拉框中。保存后，打开“屏蔽U 盘”策略，定位“用户配置-管理模板-Windows 组件-Windows 资源管如何利用AD 组策略来屏蔽U 盘等可移动磁盘理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个，点击“启用”，再点击下拉框，哈哈，您会发现您多了一个选项这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都需要设置），保存后，包含于该组织单位下的用户登录时，便会发现他的U 盘插上后，系统虽能识别并正确安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括在地址栏中输入盘符。最后，附上从A 到Z 对应的每一个数字，方便大家理解：A B C D E F1 2 4 8 16 32G H I J K L64 128 256 512 1024 2048M N O P Q R4096 8192 16384 32768 65536 131072S T U V W X262144 524288 1048576 2097152 4194304 8388608Y Z16777216 33554432根据上表中的数字，大家可以根据实际想禁用的盘符然后对应表上的数字得出的总数，如想禁用所有的盘符，即从A 到Z，则以上的数字相加等于67108863，以上面找到的那两段代码，其中就有一项禁用所有盘符，后面的数字也正好是这个。举例：比如你如果想禁止除CDEF 这四个盘以外的所有盘，则是按上表中的数字去掉CDEF 中对应的数字，四个盘对应的数字正好是60，因此，将这个总数：67108863 减去60=67108803。然后在上面插入的那段字符里做相应的调整，你也可以根据喜好，创建多个组合，如禁止CDEFGHIJK,或是禁止XYZ 等等。但是要注意此段代码：NAME !ABCFGHIOnly VALUENUMERIC 487（比如你想禁用从除CDEF 之外的所有盘符，是要在这段代码的！后面写成这样：ABGHIJKLMNOPQRSTUVWXYZOnly VALUE，后面的NUMERIC 487 则根据你想要禁用的盘符的数值（见上表）加起来的和，总而言之一句话，你想要禁用的盘符都要在这段代码里面。至此，全部设置完毕，让您的客户段使用此OU 下的用户登录看看吧！ 实现方法/b1、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U盘”，建好后，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置管理模板-Windows组件-Windows资源管理器”，选中Windows资源管理器，在右边的窗口中会显示如图1所示。img/UploadFiles_3263/200602/20060222113225222.jpg/img我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，如图2所示，您会发现系统提供了7种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区）。img/UploadFiles_3263/200602/20060222113226275.jpg/img2、在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性，在如图3所示的位置找到屏蔽U盘的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为82F86A8E-B345-4DDC-A304-E448F6E900A9，记下此字符串。img/UploadFiles_3263/200602/20060222113226791.jpg/img3、打开系统盘，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夹，此文件夹位于“C:WINNTSYSVOLPolicies”下（盘符依赖于您安装的操作系统所在的分区），注意其中是您的Windows 2000的域名，打开82F86A8E-B345-4DDC-A304-E448F6E900A9目录，找到ADM目录下的system.adm文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：quote* POLICY !NoDrives EXPLAIN !NoDrives_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME NoDrivesITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PART END POLICY* POLICY !NoViewOnDriveEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME NoViewOnDriveITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PART END POLICY/quote说明：这是两个策略，第一个!NoDrive，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可以达到比较理想的效果。 仔细观察上述代码，不难发现，其中一共有7个NAME项，正好和我们图2下拉框中的一一对应，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on的意思说值为26位的二进制，最多可指定26个驱动器盘符，而1 bit per drive则代表1位代表1个驱动器，举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此类推。我们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB接口数（防止有人同时插入几个U盘，呵呵！）。那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在两个策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 487随后，移到System.adm文件的末尾，在 ABConly=仅限制驱动器 A、B 和 C 下面插入一行数据，ABCFGHIOnly=仅限制驱动器A、B、C、F、G、H、I等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在如图2的下拉框中。保存后，打开“屏蔽U盘”策略，定位“用户配置-管理模板-Windows 组件-Windows 资源管理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个，点击“启用”，再点击下拉框，哈哈，您会发现您多了一个选项（如图4）。img/UploadFiles_3263/200602/20060222113226586.jpg/img这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都需要设置），保存后，包含于该组织单位下的用户登录时，便会发现他的U盘插上后，系统虽能识别并正确安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括在地址栏中输入盘符。至此，全部设置完毕，让您的客户段使用此OU下的用户登录看看吧b其他注意事项：/b1、这种方法在您的客户端很多的时候，很方便，您只要确保客户端登录用户属于您已应用此组策略的OU下即可，如果暂时需要允许他使用U盘，那只要把该用户移出此OU，该用户再注销重新登录一下就OK。2、需要注意的是，您在OU中建立用户时，用户缺省是属于Domain users组，这对于大多数软件来说没有问题，但会使有些软件无法安装或运行，您可以赋予这些用户在客户端本机的Power user组的权限，即可解决。3、注意这种方法同时也屏蔽了您的光驱盘符，光驱也是不能访问的。当然U盘都屏蔽了，我想光驱就更该屏蔽了，呵呵！如果实在要访问，可以在计算机管理中的磁盘管理中赋予光驱一个靠后的盘符即可。4、OU是可以嵌套的，客户端组策略的应用是从域根到OU再到子OU，而且是可以覆盖的，除非您选定了“阻止策略继承”。如果您在父OU上设置了屏蔽U盘，但在子OU中又取消了屏蔽，那么客户端的U盘是不会被屏蔽的。5、如果您在一个OU中设置了此屏蔽策略，但您又要在其他同级的OU中要开放一些用户的U盘时，您需要重新建一个策略，而不是直接在“屏蔽U盘”的策略上修改成不屏蔽U盘，因为这是个链接到“屏蔽U盘”的策略，您实际修改的是“屏蔽U盘”策略，这会影响到他管理下的所有的OU，他们都将会应用您修改后的策略。6、在域中应用组策略时，系统只能对整个域、组织单位实施组策略，不能对单个的用户或者计算机指定组策略，在实际应用的时候，可多建立几个组织单位来管理用户。如何利用AD 组策略来屏蔽磁盘（详细说明）(示例屏蔽U盘)如何利用AD 组策略来屏蔽磁盘（详细说明）如何利用AD 组策略来屏蔽U 盘最近在外面做点小方案，捞点外块，根据客户的要求，研究了一个新东西:如何利用组策略来屏蔽U 盘等可移动磁盘。一部份来自于互联网，通过分析和整理，总结如下：1、 在域控制器上打开Active Directory 用户和计算机，找到您要屏蔽U 盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U 盘”，建好后，双击“屏蔽U 盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置管理模板-Windows 组件-Windows 资源管理器”，选中Windows 资源管理器，我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，您会发现系统提供了7 种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U 盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区）。2、 在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U 盘”策略上单击右键选择查看属性，找到屏蔽U 盘的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为82F86A8E-B345-4DDC-A304-E448F6E900A9，记下此字符串。3、 打开系统盘，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夹，此文件夹位于C:WINDOWSSYSVOLsysvolhcsAD.hcPolicies（盘符依赖于您安装的操作系统所在的分区，如果安装AD 时在C 盘，默认则就是这个路径，其中hcsad.hc 则是你给这个AD 取得名字，我这里给这个域的顶级域名取为为HC，所以这里就是HCSAD.HC），打开82F86A8E-B345-4DDC-A304-E448F6E900A9目录，找到ADM 目录下的system.adm 文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：* POLICY !NoDrivesEXPLAIN !NoDrives_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME NoDrivesITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY如何利用AD 组策略来屏蔽U 盘等可移动磁盘* POLICY !NoViewOnDriveEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME NoViewOnDriveITEMLISTNAME !ABOnly VALUE NUMERIC 3NAME !COnly VALUE NUMERIC 4NAME !DOnly VALUE NUMERIC 8NAME !ABConly VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY说明：这是两个策略，第一个!NoDrive，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个!NoViewOnDrive 的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可以达到比较理想的效果。仔细观察上述代码，不难发现，其中一共有7 个NAME 项，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on 的意思说值为26 位的二进制，最多可指定26 个驱动器盘符，而1 bit per drive 则代表1 位代表1 个驱动器，举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此类推。我们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB 接口数（防止有人同时插入几个U 盘，呵呵,但是我建议，在做系统规划时就要注意这个问题：就是固定给所有的电脑分配几个盘，如4 个，即：CDEF，这样我们就可以利用禁掉除CDEF 所有的盘，这样就可以保证万无一失啦，哈哈）。那么我们计算出VALUE NUMERIC 的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在两个策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 487随后，利用查找命令，找到以下字段：在 ABConly=仅限制驱动器 A、B 和 C ，这一段文字，下面插入一行数据， ABCFGHIOnly=仅限制驱动器A、B、C、F、G、H、I，等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在策略的下拉框中。保存后，打开“屏蔽U 盘”策略，定位“用户配置-管理模板-Windows 组件-Windows 资源管如何利用AD 组策略来屏蔽U 盘等可移动磁盘理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个，点击“启用”，再点击下拉框，哈哈，您会发现您多了一个选项这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都需要设置），保存后，包含于该组织单位下的用户登录时，便会发现他的U 盘插上后，系统虽能识别并正确安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括在地址栏中输入盘符。最后，附上从A 到Z 对应的每一个数字，方便大家理解：A B C D E F1 2 4 8 16 32G H I J K L64 128 256 512 1024 2048M N O P Q R4096 8192 16384 32768 65536 131072S T U V W X262144 524288 1048576 2097152 4194304 8388608Y Z16777216 33554432根据上表中的数字，大家可以根据实际想禁用的盘符然后对应表上的数字得出的总数，如想禁用所有的盘符，即从A 到Z，则以上的数字相加等于67108863，以上面找到的那两段代码，其中就有一项禁用所有盘符，后面的数字也正好是这个。举例：比如你如果想禁止除CDEF 这四个盘以外的所有盘，则是按上表中的数字去掉CDEF 中对应的数字，四个盘对应的数字正好是60，因此，将这个总数：67108863 减去60=67108803。然后在上面插入的那段字符里做相应的调整，你也可以根据喜好，创建多个组合，如禁止CDEFGHIJK,或是禁止XYZ 等等。但是要注意此段代码：NAME !ABCFGHIOnly VALUENUMERIC 487（比如你想禁用从除CDEF 之外的所有盘符，是要在这段代码的！后面写成这样：ABGHIJKLMNOPQRSTUVWXYZOnly VALUE，后面的NUMERIC 487 则根据你想要禁用的盘符的数值（见上表）加起来的和，总而言之一句话，你想要禁用的盘符都要在这段代码里面。什么方法屏蔽机房学生机的USB接口，不让学生使用U盘等可移动设备2010-05-25 16:56方法一、在“运行”对话框中输入“regedit”，回车后，打开注册表编辑器，依次展开如下分支HKEY_LOCAL_MACHINESYSTEMCurrentCntrolSetServicesUSBSTOR，在右侧的窗格中找到名为“Start”的DWORD值，双击，在弹出的编辑对话框中将其数值数据修改为十六位进制数值“4”。点“确定”按钮并关闭注册表编辑器，重新启动计算机，使设置生效。重启后，当有人将USB存储设备连接到计算机时，虽然USB设备上的指示灯在正常闪烁，但在资源管理器当中就是无法找到其盘符，因此也就无法使用USB设备了。方法二、在WindowsXP中禁用和管理USB接口1. 计算机未安装USB设备这种情况可以采取将%SystemRoot%Inf下的Usbstor.pnf和Usbstor.inf两个文件设置其用户的控制权限。Step1：右击这两个文件，选择“属性安全高级”，在“权限”页面中取消“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”复选框。Step2：在“安全”页面中，选择要屏蔽的用户或用户组，在“完全控制”中选择“拒绝”复选框，然后单击“确定”。这种通过分配权限的方法，可以指定哪些用户可以使用USB设备，哪些用户不可以使用USB设备，和下面的“Windows NT以上系统通用方法”一样，灵活性较大，所以建议采用该方法限制用户安装USB设备。2. 计算机已安装了USB设备在“开始”/“运行”中输入“Regedit”，按回车即可打开注册表编辑器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor”主键，双击名为“Start”的DWORD值，将“数值数据”改为4.设为2时表示自动，设为3时表示手动(这是默认设置)，设为4则为停用该方法修改后，当用户将USB存储设备连接到计算机时，该设备将无法运行。Windows NT以上系统通用方法运行注册表编辑器，找到HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键，取消System的所有控制权。如果要分配控制权，只需要对相应用户设置控制权限就可以了。小提示：Windows 2000中要设置注册表的控制权限，需用Regedt32exe注册表编辑器。禁止和管理域中多台计算机USB设备的使用方法很简单，就是在域控制器上通过组策略限制用户对“Windows NT以上系统通用方法”中注册表键的控制权即可方法三、隐藏盘符和禁止查看（适用于Windows系统） 打开注册表编辑器，依次展开如下分支HKEY_CURRENT_USERsoftwareMicrosoftWindowsCurrentVersionPloiciesExplorer，新建二进制值“NoDrives”，其缺省值均是00 00 00 00，表示不隐藏任何驱动器。键值由四个字节组成，每个字节的每一位（bit）对应从A:到Z:的一个盘，当相应位为1时，“我的电脑”中相应的驱动器就被隐藏了。第一个字节代表从A到H的8个盘，即01为A，02为B，04为C依次类推，第二个字节代表I到P，第三个字节代表Q到X，第四个字节代表Y和Z。比如要关闭C盘，将键值改为04 00 00 00；要关闭D盘，则改为08 00 00 00，若要关闭C盘和D盘，则改为0C 00 00 00(C是十六进制，转成十进制就是12)。理解了原理后，下面以我的电脑为例说明如何操作：我的电脑有一个软驱、一个硬盘(5个分区)、一个光驱，盘符分布是这样的：A:（3.5软盘）、C:、D:、E:、F:、G:、H:（光盘），所以我的“NoDrives”值为“02 ff ff ff”，隐藏了B、I到Z盘。 重启计算机后，再插入U盘，在我的电脑里也是看不出来的，但在地址栏里输入I:（我的电脑电后一个盘符是H）还是可以访问移动盘的。到这里大家都看得出“NoDrives”只是障眼法，所以我们还要做多一步，就是再新建一个二进制“NoViewOnDrive”，值改为“02 ff ff ff”，也就是说其值与“NoDrives”相同。 这样一来，既看不到U盘符也访问不到U盘了。 方法四、禁止安装USB驱动程序 在Windows资源管理器中，进入到“系统盘:WINDOWSinf”目录，找到名为“Usbstor.pnf”的文件，右键点击该文件，在弹出菜单中选择“属性”，然后切换到“安全”标签页，在“组或用户名称”框中选中要禁止的用户组，接着在用户组的权限框中，选中“完全控制”后面的“拒绝”复选框，最后点击“确定”按钮。 再使用以上方法，找到“usbstor.inf”文件并在安全标签页中设置为拒绝该组的用户访问，其操作过程同上。完成了以上设置后，该组中的用户就无法安装USB设备驱动程序了，这样就达到禁用的目的。 注意：要想使用访问控制列表(ACL)，要采用NTFS文件系统。方法五、修改BIOS设置 这种方法虽然比较“原始”、简单，但却很有效。因为是在Windows启动前就从硬件层面关闭了电脑的USB功能，所以比较适合长期不使用USB设备（包括USB键盘及鼠标）的用户。 具体操作如下：在电脑开机或重新启动出现主板开机画面的时候，迅速按键盘上的“Delete”键（或根据画面上的提示按相应的键盘按键）进入BIOS设置界面，选择“Integrated Peripherals”选项，展开后将“USB 1.1 Controller”和“USB 2.0 Contr01ler”选项的属性设置为“Disabled”，即可禁用电脑的所有USB接口。最好再顺便设置一个BIOS密码，这样其他人就无法随意进入BIOS更改设置了。方法六、在WINDDOWS的“控制面板”的 “系统”的“硬件”的“设备管理”里禁用USB相关的设备。方法七、修改系统文件/注册表 与第一种方法所不同的是，这种方法仅能禁用USB储存设备，如移动硬盘或优盘，对于其他USB设备，如USB鼠标、USB键盘就不起作用了。但我们的主要目的是禁止他人