域组策禁用U盘的使用方法

1、域组策禁用U盘的使用方法1、首先你要具备一台装有 Windows Server2003操作系统服务器，再次你要配置域服务器，如下图：2、找到域控制器(Active Directory)，我简称它为AD,点击管理AD中的用户和计算机，会出现下图：3、右击Domain Controllers后，点击属性会出现下图：4、选择“组策略”，点击组策略对象链接，再双击它，会出现 下图：5、照图点击到“注册表”，右击“注册表”后点击“添加项”， 照图上的路径添加那两项。注意添加图上那两项时的前提是你的 域服务器注册表(“开始”-“运行”-输入命令“ regedit ”就会打开注册表）将图上那两项修改了。我具

2、体说明下它们的修 改值。第一项如图:它项中的 WriteProtect 值默认为“ 0” ,更改为“ 1”。第二项如下图：U TcpipLJ Tcpap6 O TDFIPELJ TDTCP LJ T«ri>9D ! - J T«mS«rvi£ | Tk«n>t£ | TlnlSvr I JI TosldeLJ Trlrtki ( TSDBD 口 t uiuip 口 Uigj35 口 UdfsLJ uf-ad-wsBO LJ Wdf | Update _| upitpbosl LJ upsJ usbccgp I 1 uxbe

3、hci LJ usbhuB裘割BEG.SZ徽值去设置）EEG_SZUSB大容星存荫设备yJJErrciirC»ntrolW.DTORII0x00000001 RESFUOLSEsts>i32 DRIVERS USESTOR S7SREC_DW0MOxaOOOOOCG (3)砌r亦EEij_BW0Rosmocaaoi a)4j EnunO ubuhci1吐Ebdb亡i3®jBiHKET W）CAUIIikCHmiSISTEMCiirT«tCflntrQlSftS#rvLcM<nUt5r将其中的Start的值改为“ 4”，默认值为“ 3”表示启用。6、 添

4、加完“注册表”的那两项后，关闭所有，在“开始”-“运 彳亍” f输入命令“ gpupdate ”后完成。7、 所有加入域中的计算机的 U盘就被禁用了。另外还有种脚本 法也可禁用U盘，我没有采用那种方法，一是它的脚本语言复杂， 二是我想用最简单的方法去实现禁止U盘的使用。上述方法本人在虚拟机中已经实现U盘的禁用。広注册表编倚狂匸1口冈文件电）漏辑広）查看电）收藏夹® L昌我的电胞+ HKET.CLASSESJOOT + O HKEYCURREHT-USER 匕 CJ HKET.LOCAL_MACKINE t _| HAMWARE £ O SAM O SECURITY 

5、3; O SOFTWARE 3 CJ STSTEI!B CurrentControlSetCj Control23 StorageDevic- ControlSetOOl ControlSet002 CurrentContr olS«t L«stKnownGoodR«cov< MountodDovi c«z Saltci帮肋QI)名称凹歙认)VriteProtect类型REG-SZ REG-IWORD鐵直耒设置)0x00000000 (0)3 oouooouuW卍出WPA匝 口 HKEI.USERS E HKET_CURRENT_CONFIG我的电

6、J0HKEY LOCALJUCKINESYSTEM Curr«ntCoMrolS®tControlStoraaD«vic«PolicxaS域控制器用Active Directory东管題网络贸涯，洌如 用戶 计算机和应用程序.fll 耸理 Active Directory 中的用戶和计算机塾管理域和信任塾管理站点和眼务®尖査此角色的下一步金dis k务asDNS (St名系统)服务SS将域和计篡机的DHS名称解移尢 IP地址.塾管理此DRS服备黯復査此角色的下一步公 域控制SS (Active Birectory)工具和®»

7、(T)営湮工貝 更务工具Vmdws Update 计氢机和域名称信息 Internet Explorer 的安±Kfi服务器莒理请参闻(g)fl?肋和支持Wicrosoft TechNet 部吾和贯观工具包 窜见管理任务列衷 Ymdws Server 社区 新内客 於略性技术保护计划ZJ-nj x|1囂譽您的服务器秒帘肋和站中沖KS GNHDTEL-SEVER1削Ci管理您的服务器角色勺 使用在这超挨到的工且和信念来獗加戒删除舟色"并执行您已 尹3的日跆理任务.U歩加晒删e.闻读有关服务器电色的信 息®闻渎关于远程管住的信念 侮的服务§8已经用下列角色逬

8、17025介DMCP服务asDHCF劭态主机配置协议)JB务黯分配IP地址给网络客塾管理此D0屜务黯約复吉此角色的下一步可以用组策略屏蔽 U 盘 （操作说明比较长需要点耐心看完 ）实现方法：1、在域控制器上打开 Active Directory 用户和计算机，找到您要屏蔽 U 盘的 组织单位（ Organizational Unit 简称 OU ），右键-属性，点击组策略页面，新建 一个组策略，命名并保存为 “屏蔽 U 盘”，建好后，双击 “屏蔽 U 盘”（必需先打开 一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略 ”的窗口的左边，按以下顺序定位 “用户配置管理模板 -Wind

9、ows 组件 -Windows 资源管理 器”，我们可以看到有 “隐藏我的电脑中的这些指定的驱动器 ”和“防止从我的电脑 访问驱动器 ”，双击打开其中一项策略，选择 “启用 ”，下面的下拉框会变亮，单击 下拉框，您会发现系统提供了 7 种限制访问驱动器号的组合，其中也包括了 “不 限制驱动器 ”，显然，这些组合不能满足要求（因为 U 盘的盘符通常是排在最后 的，而且现在的硬盘比较大，少则也有三四个分区）。2、在域控制器上打开 Active Directory 用户和计算机，在刚才新建的 “屏蔽 U 盘 ”策略上单击右键选择查看属性，找到 "屏蔽 U 盘"的组策略的唯一的名称

10、，此 名称为一长串数字和字母组成，记下此字符串。3、打开系统盘，定位以命名的文件夹，此文件夹位于“ C:WINNTSYSVOLPolicies 下”（盘符依赖于您安装的操作系统所 在的分区） ，注意其中 是您的 Windows 2000 的域名，打开目录， 找到 ADM 目录下的 system.adm 文件，此文件是我们在实施组策略的模板文件， 是一个纯文本文件，可用记事本打开，找到下面这两段代码：* POLICY !NoDrivesEXPLAIN !NoDrives_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORTREQUIREDVALUENAME

11、 "NoDrives"ITEMLISTNAME !ABOnlyNAME !COnlyNAME !DOnlyNAME !ABConlyNAME !ABCDOnlyVALUE NUMERIC 3VALUE NUMERIC 4VALUE NUMERIC 8VALUE NUMERIC 7VALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrivesVALUE NUMERIC 0END ITEMLISTEND PART

12、 END POLICYPOLICY !NoViewOnDriveEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoViewOnDrive" ITEMLISTVALUE NUMERIC 3VALUE NUMERIC 4VALUE NUMERIC 8VALUE NUMERIC 7VALUE NUMERIC 15NAME !ABOnlyNAME !COnlyNAME !DOnlyNAME !ABConlyNAME !ABCDOnlyNAME !ALL

13、Drives VALUE NUMERIC 67108863 DEFAULT ; low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY说明：这是两个策略，第一个 !NoDrive ，它的作用是在我的电脑中不显示指 定的驱动器名， 驱动器号代表的所有驱动器不出现在标准的打开对话框上， 但是 在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式， 用户仍然可以访问该 驱动器；第二个 !NoViewOnDrive 的作用是阻止用户访问驱动器。 可以阻止上述 情况的出

14、现， 但是仅仅用第二个的话， 用户可以看见该驱动器的盘符， 但不能访 问，一般情况，两个同时使用，可以达到比较理想的效果。仔细观察上述代码，不难发现，其中一共有 7 个 NAME 项，正好和我们图 2 下拉框中的一一对应，后面的 VALUE NUMERIC 按照 low 26 bits on (1 bit per drive)的规则取值，low 26 bits on的意思说值为26位的二进制，最多可指定26 个驱动器盘符，而 1 bit per drive 则代表 1 位代表 1 个驱动器，举例说 A=1， B=2， C=4， D=8， E=16， F=32， G=64， H=128， I=2

15、56 ，由低到高，以此类推。我 们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，您可以根据您的需要而定， 推荐隐藏的盘符数量应该大于您的现有的盘符数加上 您客户端所有的 USB 接口数(防止有人同时插入几个 U 盘)。那么我们计算出 VALUE NUMERIC 的数值 A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在两个策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 487随后，移到 System.adm 文件的末尾，在 ABConly=

16、" 仅限制驱动器 A、B 和 C" 下面插入一行数据，ABCFGHIOnly=" 仅限制驱动器 A、B、C、F、G、H、I" 等于号后引号内的说明您可以根据自己的喜好定义， 它将会显示在如图 2 的下拉 框中。保存后，打开 “屏蔽 U 盘”策略，定位 “用户配置 -管理模板 -Windows 组件 -Windows 资源管理器 ”，在右边的窗口中双击 “隐藏我的电脑中的这些指定的驱 动器”或“防止从我的电脑访问驱动器 ”其中的一个，点击 “启用”，再点击下拉框， 您会发现您多了一个选项。这时候，您只要在您想屏蔽的用户的组织单位上应用此策略， 保存后， 包

17、含于 该组织单位下的用户登录时，便会发现他的 U 盘插上后，系统虽能识别并正确 安装驱动，但在 “我的电脑 ”中却无法看见，并且通过其他方法也无法访问，包括 在地址栏中输入盘符。至此，全部设置完毕，让你的客户段使用此 OU 下的用户登录就可以了其他注意事项：1、这种方法在您的客户端很多的时候，很方便，您只要确保客户端登录用户 属于您已应用此组策略的 OU 下即可，如果暂时需要允许他使用 U 盘，那只要 把该用户移出此0U，该用户再注销重新登录一下就 0K。2、需要注意的是，您在 OU 中建立用户时，用户缺省是属于 Domain users 组，这对于大多数软件来说没有问题， 但会使有些软件无法安装或运行， 您可以 赋予这些用户在客户端本机的 Power user 组的权限，即可解决。3、 注意这种方法同时也屏蔽了您的光驱盘符，光驱也是不能访问的。当然U 盘都屏蔽了，我想光驱就更该屏蔽了，呵呵！如果实在要访问，可以在计算机管 理中的磁盘管理中赋予光驱一个靠后的盘符即可。4、0U是可以嵌套的，客户端组策略的应用是从域根到 0U再到子0U ,而且 是可以覆盖的，除非您选定了 “阻止策略继承 ”。如果您在父 0U 上设置了屏蔽 U