Windows组策略屏蔽U盘有妙法

1、windows组策略屏蔽u盘有妙法基本原理组策略实现的原理实际上就是修改注册表，当域用户登录到域上时，系统会对指定的客 户端实施组策略，也即修改客户端的注册表，当我们新建了一个组策略时，系统实际上是拷 贝了三个模板文件，在您修改组策略时，实际上是在修改这些模板的副本，然后把这些策略 应用到指定的客户端中去，然rftl" windows 2000 server系统提供的组策略模板中并没有我们 想要的屏蔽u盘的策略，但我们可以手动修改系统的模板文件，使组策略模板具备屏蔽i；盘 的策略，实际上根据其原理，凡是修改注册表能做到的，基本上都可以在域中使用组策略实 现。实现方法1、在域控制器上打

2、开active directory用户和计算机，找到您要屏蔽u盘的组织单位 (organizational unit简称0u),右键査看此组织单位的属性,点击组策略页面,新建一 个组策略，命名并保存为“屏蔽u盘”，建好后，双击“屏蔽u盘”(必需先打开一次，否 则系统不会拷贝那几个模板文件)，在打开的标题为“组策略”的窗口的左边，按以卜顺序定 位"用户配置一管理模板-windows组件-windows资源管理器”，选屮windows资源管理器， 在右边的窗口中会显示如图1所示。 .ji*c«<-3率5jutari -am j啊沁e mt« nipwrq如碉申诵

3、耳.厂'"i jl« . jrh2沁iscmnihmmii”常曾林m中哥紀卞并聯*1!序i殆leffhi *!»*9ifl 时峙 «mmwiarss w t* isikwmsr怜t“wr谿直仍3科咖!rir»f<in*«»«v1!t我们可以看到有“隐藏我的电脑屮的这些指定的驱动器”和“防止从我的电脑访问驱动 器”，双击打开具中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，如图2 所示，您会发现系统提供了7种限制访问驱动器号的组合，其中也包括了 “不限制驱动器”, 显然，这些组合不能满足我们的

4、要求（因为u盘的盘符通常是排在最后的，而且现在的硬盘 比较大，少则也有三四个分区）。ft -< -tuqg(5t 叫<)8 ibk|me«4dtb wxw、jas &«> jrb亠fttitmf>总 ji x<i® &祈1 -jutl 疋 j-440-10 e -jt«wjvhwrwwl jmwr jx杯3 -j*- j jsmnctomwwu5恥54叭 2 j)2、在域控制器上打开active directory用户和计算机，在刚才我们新建的"屏蔽u盘” 策略上单击右键选择查看属性，在如图3所示的

5、位置找到屏蔽u盘的组策略的唯一的名称, 此名称为一长串数字和字母组成，本例中为82f86a8e-b345-4ddc-a304-e448f6e900a9,记 下此字符串。3、打开系统盘，定位以82f86a8e-b345-4ddc-a304-e448f6e900a9命名的文件夹，此文 件夹位于uc:winntsysvolbaling. com. cnpolicies"下(盘符依赖丁您安装的操作系统所在 的分区)，注 意其中baling. com. cn是 您 的windows 2000的 域名，打开 82f86a8e-b345-4ddc-a304-e448f6e900a9目录，找到 ad

6、m 目录下的 system, adm 文件，此文 件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段 代码：* policy !nodrivesexplain !nodrives_helppart !nodrivesdropdown dropdownlist nosort requiredvaluename nodrivesitemlistname!iabonlyvaluenumeric3name!c0nlyvaluenumeric4name!d0nlyvaluenumeric8name!abconlyvaluenumeric7name!iabcdonlyvalu

7、e numeric 15name !ialldrives value numeric 67108863 default ;low 26 bits on (1 bit per drive)name !restnodrives value numeric 0end itemlistend partend policy* policy !noviewondriveexplain !noviewondrive_helppart !nodrivesdropdown dropdownlist nosort required valuename "noviewondrive"itemli

8、st!ab0nly!c0nly!d0nly! jabconly! iabcdonlynamenamenamenamenamenamevaluevaluevaluevaluenumericnumericnumericnumeric3487value numeric 15! ialldrives value numeric 67108863 default;low 26 bits on (1 bit per drive)name! jrestnodrivcs value numeric 0end ttemltstend partend policy说明：这是两个策略，第一个!nodrive,它的作

9、用是在我的电脑中不显示指定的驱动器 名，驱动器号代表的所有驱动器不岀现在标准的打开对话框上，但是在地址栏中输入盘符或 新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个! jnoviewondrive 的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅用第二个的话，用户可 以看见该驱动器的盘符，但不能访问，一般悄况，两个同时使用，可以达到比较理想的效果。仔细观察上述代码，不难发现，其中一共有7个mme项，正好和我们图2下拉框中的一 一对应，后面的 value numeric 按照 low 26 bits on (1 bit per drive)的规则取值，low 26

10、bits on的意思说值为26位的一进制，最多可指定26个驱动器盘符，而1 bit per drive则代表 1 位代表 1 个驱动器,举例说 a=l, b=2, c=4, d=8, e=16, f=32, g=64, h二 128, 1 二256, 由低到高，以此类推。我们可根据我们的需要修改此代码段，假如我们耍隐藏a、b、c、f、 g、h、i,您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您 客户端所有的usb接口数（防止有人同时插入几个u盘，卩可呵！）。那么我们计算出value numeric 的数值 a+b+c+f+g+h+i = 1+2+4+32+64+128

11、+256 =487,在两个策略中的name !jabcdonly value numeric 15下插入一行name !iabcfghionly value numeric 487随后,移到system, adm文件的末尾,在abconly二仅限制驱动器a、b和c下面插入 一行数据，abcfghionly二仅限制驱动器 a、b、c、f、g、h、1等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在如图2的下拉框屮。保存 后，打开“屏蔽u盘”策略，定位“用户配置-管理模板-windows组件-windows资源管理 器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的

12、电脑访 问驱动器”其屮的一个，点击“启用”，再点击下拉框，哈哈，您会发现您多了一个选项（如 图4）。zk ittur > - cl x ry sfr ri*-mm这时候，您只耍在您想屏蔽的用户的组织单位上应用此策略（别忘了这两个策略都需耍 设置），保存后，包含于该组织单位下的用户登录时，便会发现他的u盘插上后，系统虽能 识别并正确安装驱动，但在“我的电脑”屮却无法看见，并月通过其他方法也无法访问，包 括在地址栏屮输入盘符。至此，全部设置完毕，让您的客户段使用此0u下的用户登录看看吧！其他注意事项：1、这种方法在您的客户端很多的时候，很方便，您只要确保客户端登录用户属于您己应 用此组策略的

13、0u下即可，如果暂时需要允许他使用u盘，那只要把该用户移出此0u,该用 户再注销重新登录-下就0k。2、需要注意的是，您在0u中建立用户时，用户缺省是属于domain users组，这对于人 多数软件来说没有问题，但会使有些软件无法安装或运行，您可以赋予这些用户在客户端本 机的power user组的权限，即可解决。3、注意这种方法同时也屏蔽了您的光驱盘符，光驱也是不能访问的。当然u盘都屏蔽了, 我想光驱就更该屏蔽了，呵呵！如果实在耍访问，可以在计算机管理中的磁盘管理中赋予光 驱一个靠后的盘符即可。4、0u是可以嵌套的，客户端组策略的应用是从域根到0u再到子0u,而且是可以覆盖的, 除非您选定了 “阻止策略继承”。如果您在父0u上设置了屏蔽u盘，但在子0u小又取消了 屏蔽，那么客户端的u盘是不会被屏蔽的。5、如果您在一个0u中设置了此屏