Windows组策略屏蔽U盘有妙法.doc

1、Windows 组策略屏蔽U 盘有妙法基本原理组策略实现的原理实际上就是修改注册表，当域用户登录到域上时，系统会对指定的客户端实施组策略，也即修改客户端的注册表，当我们新建了一个组策略时，系统实际上是拷贝了三个模板文件，在您修改组策略时，实际上是在修改这些模板的副本，然后把这些策略应用到指定的客户端中去，然而Windows 2000 Server系统提供的组策略模板中并没有我们想要的屏蔽 U 盘的策略，但我们可以手动修改系统的模板文件，使组策略模板具备屏蔽 U 盘的策略，实际上根据其原理，凡是修改注册表能做到的，基本上都可以在域中使用组策略实现。实现方法1、在域控制器上打开Active Dir

2、ectory用户和计算机，找到您要屏蔽U 盘的组织单位（ Organizational Unit简称 OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽 U 盘”，建好后，双击“屏蔽 U 盘”（必需先打开一次，否则系统不会拷贝那几个模板文件） ，在打开的标题为“组策略”的窗口的左边， 按以下顺序定位“用户配置管理模板 -Windows 组件 -Windows 资源管理器”，选中 Windows资源管理器，在右边的窗口中会显示如图 1 所示。1我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下

3、面的下拉框会变亮，单击下拉框，如图 2 所示，您会发现系统提供了 7 种限制访问驱动器号的组合， 其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为 U 盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区） 。22、在域控制器上打开 Active Directory 用户和计算机，在刚才我们新建的“屏蔽 U盘”策略上单击右键选择查看属性， 在如图 3 所示的位置找到 屏蔽 U盘 的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为 82F86A8E-B345-4DDC-A304-E448F6E900A9，记下此字符串。3、打开系统盘，定位以 82F86

4、A8E-B345-4DDC-A304-E448F6E900A9命名的文件夹，此文件夹位于“ C:，注意其中 2000 的域名，打开 82F86A8E-B345-4DDC-A304-E448F6E900A9目3录，找到 ADM目录下的 system.adm 文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码：* POLICY !NoDrivesEXPLAIN !NoDrives_HelpPART !NoDrivesDropdownDROPDOWNLIST NOSORT REQUIREDVALUENAME NoDrivesITEMLISTNAME !AB

5、OnlyVALUE NUMERIC 3NAME !COnlyVALUE NUMERIC 4NAME !DOnlyVALUE NUMERIC 8NAME !ABConlyVALUE NUMERIC 7NAME !ABCDOnlyVALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrivesVALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY* POLICY !NoViewOnDriveEXPLAIN !NoVie

6、wOnDrive_HelpPART !NoDrivesDropdownDROPDOWNLIST NOSORT REQUIREDVALUENAME NoViewOnDriveITEMLISTNAME !ABOnlyVALUE NUMERIC 3NAME !COnlyVALUE NUMERIC 4NAME !DOnlyVALUE NUMERIC 8NAME !ABConlyVALUE NUMERIC 7NAME !ABCDOnlyVALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC DEFAULT; low 26 bits on (1 bit per driv

7、e)NAME !RestNoDrivesVALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY说明：这是两个策略，第一个 !NoDrive ，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可以达到比较理想的效果。仔细观察上述代码，不难发现，其中一共有7 个 N

8、AME项，正好和我们图 2 下拉框中的一一对应，后面的VALUENUMERIC按照 low 26 bitson (1 bitper drive)的规则取值， low 26bits on的意思说值为26 位的二进制，最多可指定26 个驱动器盘符，而1 bit per drive则代表 1 位代表 1 个驱动器，举例说 A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256 ，由低到高，以此类推。我们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、4G、H、I ，您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB 接

9、口数（防止有人同时插入几个U 盘，呵呵！）。那么我们计算出VALUENUMERIC的数值 A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在两个策略中的NAME !ABCDOnlyVALUE NUMERIC15下插入一行NAME !ABCFGHIOnlyVALUE NUMERIC 487随后，移到 System.adm 文件的末尾，在 ABConly= 仅限制驱动器 A 、B 和 C下面插入一行数据，ABCFGHIOnly=仅限制驱动器 A、B、C、F、G、H、I等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在如图 2 的下拉框中。保存后，打开“屏蔽

10、 U 盘”策略，定位“用户配置 - 管理模板 -Windows 组件 -Windows 资源管理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个， 点击“启用”， 再点击下拉框， 哈哈，您会发现您多了一个选项 （如图 4）。这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都需要设置），保存后，包含于该组织单位下的用户登录时，便会发现他的 U 盘插上后，系统虽能识别并正确安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括在地址栏中输入盘符。至此，全部设置完毕，让您的客户段使用此OU下的用户登录看看吧！

11、其他注意事项：1、这种方法在您的客户端很多的时候，很方便，您只要确保客户端登录用户属于您已应用此组策略的 OU下即可，如果暂时需要允许他使用U 盘，那只要把该用户移出此OU，该用户再注销重新登录一下就OK。2、需要注意的是，您在 OU中建立用户时，用户缺省是属于 Domainusers 组，这对于大多数软件来说没有问题，但会使有些软件无法安装或运行，您可以赋予这些用户在客户端本机的 Power user 组的权限，即可解决。53、注意这种方法同时也屏蔽了您的光驱盘符， 光驱也是不能访问的。 当然 U盘都屏蔽了，我想光驱就更该屏蔽了，呵呵！如果实在要访问，可以在计算机管理中的磁盘管理中赋予光驱一个靠后的盘符即可。4、OU是可以嵌套的，客户端组策略的应用是从域根到 OU再到子 OU，而且是可以覆盖的，除非您选定了“阻止策略继承”。如果您在父 OU上设置了屏蔽 U 盘，但在子 OU中又取消了屏蔽，那么客户端的 U盘是不会被屏蔽的。5、如果您在一个 OU中设置了此屏蔽策略， 但您又要在其他同级的OU中要开放一些用户的 U盘时，您需要