域中禁用USB等移动硬盘

1、2010-10-22 17:25我可以提供禁用usb 的注册表方法定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUSBSTOR右边有一个叫 start 的键值双击他将值改成4 usb 就禁用了下次要恢复只需将4 改成 3 就好了把下段斜杠内的内容拷到文本文档中，保存成.ADM文件，然后打开你要做限制的OU勺组策略，展开“用户配置, 管理模板” , 右击管理模板, 添加 / 删除模板 , 然后把刚才保存的ADMfc件导入！现在在这个OUF的所有用户将无法使用US的储设备！计算机未安装US股备这种情况可以采取将SystemRoot%InfF

2、的和两个文件设置其用户的控制权限。Steph右击这两个文件，选择“属性-安全-高级”，在“权限”页面中取消“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”复选框。Step2：在“安全”页面中，选择要屏蔽的用户或用户组，在“完全控制”中选择“拒绝”复选框，然后单击“确定”。这种通过分配权限的方法，可以指定哪些用户可以使用 US艰备，哪些用户不可以使用US殷备，和下面的“Windows NT以上系统通用方法” 一样，灵活性较大，所以建议采用该方法限制用户安装US殷备。2.计算机已安装了 US股备这种情况可以通过修改注册表来实现。方法是修改注册表中HKEY_LOCAL_MAC

3、HINESYSTEMCurrentControlSetServicesUSBSTORStart ” 值，改为十六位进制数值“4”。该方法修改后，当用户将US的储设备连接到计算机时，该设备将无法运行。二、Windows N©上系统通用方法运行注册表编辑器，找到 HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesUSBSTOR键，取消System的所有控制权。如果要分配控制权，只需要对相应用户设置控制权限就可以了。小提示：Windows 2000中要设置注册表的控制权限，需用注册表编辑器。三、禁止和管理域中多台计算机US艰备的使用方法很简单，就是在

4、域控制器上通过组策略限制用户对“ Windows NT以上系统通用方法”中注册表键的控制权即可。如果是禁用光驱，软驱，US股备，第三方软件GFI LANGuard Portable Storage 非常不错，它可以在域环境中使用。如果使用组策略禁用USBK：备,可以按照以下办法：禁止移动存储设务的模板 胡义老师原创 将下列内容保存为，在组策略的添加 / 删除模板中导入进行设置。CLASS USERCATEGORY !ADMDescPOLICY !MMC_DeviceManagerXKEYNAME "SoftwarePoliciesMicrosoftMMC-d6d6-11d0-8353

5、-00a0c90640bf#if version >= 4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !MMC_Restrict_ExplainvalueNAME "Restrict_Run"valueON NUMERIC 0valueOFF NUMERIC 1END POLICYPOLICY !MMC_DeviceManagerKEYNAME "SoftwarePoliciesMicrosoftMMC74246bfc-4c96-11d0-abef- 0020af6b0b7a"#if version >=

6、4SUPPORTED !SUPPORTED_Win2k#endifEXPLAIN !DEVMGR_Restrict_ExplainvalueNAME "Restrict_Run" valueON NUMERIC 0valueOFF NUMERIC 1END POLICYEnd CATEGORYCLASS MACHINECATEGORY !ADMDescPOLICY !USB_UHCD_PARAMSKEYNAME "SYSTEMCurrentControlSetServicesuhcd"EXPLAIN !STARTUPTYPE_HELPPART !STAR

7、TUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_UHCI_PARAMSKEYNAME "SYSTEMCurrentControlSetServicesusbuhci"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIRED valueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOL

8、ICY !USB_EHCI_PARAMSKEYNAME "SYSTEMCurrentControlSetServicesusbehci"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !USB_HUBKEYNAME "SYSTEMCurrentControlSetServicesusbhub"EXPLAIN !STARTUPTYPE_HELP

9、PART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLICY !CD_ROMKEYNAME "SYSTEMCurrentControlSetServicescdrom"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYPOLIC

10、Y !Floppy_DiskKEYNAME "SYSTEMCurrentControlSetServicesflpydisk"EXPLAIN !STARTUPTYPE_HELPPART !STARTUPTYPE NUMERIC REQUIREDvalueNAME "START"MIN 3 MAX 4 DEFAULT 3END PARTEND POLICYEnd CATEGORYstringsADMDesc型定义策略"MMC_DeviceManagerX段备管理器扩展插件"MMC_DeviceManage假备管理器"SUPPO

11、RTED_Win2k="'使用 Microsoft Windows 2000"MMC_Restrict_Explain="Disable 禁用设备管理器扩展插件； Enable 启用设备管理器扩展插件"DEVMGR_Restrict_Explain="Disable 禁用设备管理器； Enable 启用设备管理器 "USB_UHCD_PARAMS=®S在控制器驱动器"STARTUPTYPE_HEL®="类型，3-手动，4-禁用”STARTUPTYPOt；类型"USB_EHCI_

12、PARAMS="Microsoft USB Enhanced Host Controller Miniport Driver"USB_UHCI_PARAMS="Microsoft USB Universal Host Controller Miniport Driver"USB_HUB="Microsoft USB Standard Hub Driver"CD_ROM="W"Floppy_Disk="软驱"者在一家区级法院网络中心工作，为确保局域网内的计算机安全，省高院要求全省联网的法院客户端的

13、机器光软驱都要拆除，而且禁止在局域网内使用U 盘。我们知道，现在局域网中使用的操作系统绝大多数都是 Windows系列，对于Windows 98说，做到这些并不又t,因为U盘第一次使用时需要安装相应的驱动程序，拆除了光、软驱后，驱动无法安装，U盘也就无法使用，但对于 Windows 200。Windows X眯说，情况就不同了，用过U盘的人都知道这些操作系统不需要安装驱动，U盘即插即用。对于大多数用户来说，这的确很方便，但对于单位有要求的网管来说，就头疼了，现在新买的机器不能总是安装Windows 98 吧，毕竟Windows 98就要“下岗”了，但面对U盘，却没有好的办法，也许您会想到可以在

14、BIOS设置里屏蔽US端口，但这是“宁可错杀一千，不能放过一个”的办法，如果您的单位客户端没有使用 USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不过您以后采购设备的时候要注意了，最好不要采购US艰备，除非咱们网管自己用，哈哈！那有没有简单易行的办法呢？经过一段时间摸索和试验，笔者终于找到了使用修改组策略模板的方法实现此目标。实现条件当然这是有前提条件的，首先，您的局域网必须以域为架构（我们知道Windows2000、Windows XP自己都自带有组策略编辑器，使用组策略编辑器可单独编辑每台机 器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在服务器端修改一次，就可

15、以在全域实现管理目标，如果不采用域模式，您需要每台都要设置组策略，失去了效率，也就没有采用的必要了）。其次，客户端必须以域用户的身份登录网络，且不能被赋予客户端本机管理员的权限。客户端操彳系统推荐使用 Windows 2000和Windows XP虽然Windows 98也能在域环境下应用组策略，但Windows 2000 Server 组策略对 Windows 98的支持并不完全，且需要采用两种完全不同的方法分别管理他们，会对您以后的网络管理带来不便。特别说明：这里介绍的方法并不适用于Windows 98，只适用于服务器端安装Windows 2000 Server 或 Windows Ser

16、ver 2003 。只要您的网络满足以上条件，我们就可以利用组策略屏蔽U盘，而对于其他US殷备却无任何影响，笔者在单位实施1年 多来，效果很好，现将详细方法介绍出来，希望能给众多网管们提供一点借鉴。基本原理组策略实现的原理实际上就是修改注册表，当域用户登录到域上时，系统会对指定的客户端实施组策略，也即修改客户端的注册表，当我们新建了一个组策略时，系统实际上是拷贝了三个模板文件，在您修改组策略时，实际上是在修改这些模板的副本，然后把这些策略应用到指定的客户端中去，然而Windows 2000 Server 系统提供的组策略模板中并没有我们想要的屏蔽U 盘的策略，但我们可以手动修改系统的模板文件，

17、使组策略模板具备屏蔽U 盘的策略，实际上根据其原理，凡是修改注册表能做到的，基本上都可以在域中使用组策略实现。实现方法1、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位（Organizational Unit 简称OU ,右键查看此组织单位的属性，点击组策略 页面，新建一个组策略，命名并保存为“屏蔽 U盘”，建好后，双击“屏蔽U盘” （必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置管理模板-Windows组件-Windows资 源管理器”，选中Windows资源管理器，在右边白窗口中会显

18、示如图1所示。我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，如图 2 所示，您会发现系统提供了 7 种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U 盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区）。2、在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性，在如图3所示的位置找到“屏蔽U盘”的组策 略的唯一的名称，此名称为一长串数字和字母组成，本例中为 82F

19、86A8E-B345-4DDC- A304-E448F6E900A9记下此字符串。3、打开系统盘，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9洛的文件 夹，此文件夹位于“ C:下（盘符依赖于您安装的操作系统所在的分区），注意其中是 您的 Windows 2000的域名，打开82F86A8E-B345-4DDC-A304-E448F6E900A9录，找 到ADW录下的文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件， 可用记事本打开，找到下面这两段代码：* POLICY !NoDrivesPART !NoDrivesDropdown DROPDOWNL

20、IST NOSORT REQUIREDVALUENAME "NoDrives"ITEMLISTNAME !ABOnlyVALUE NUMERIC 3NAME !COnlyVALUE NUMERIC 4NAME !DOnlyVALUE NUMERIC 8NAME !ABConlyVALUE NUMERIC 7NAME !ABCDOnlyVALUE NUMERIC 15NAME !ALLDrives VALUE NUMERIC DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrivesVALUE NUMERIC 0EN

21、D ITEMLISTEND PARTEND POLICY* POLICY !NoViewOnDriveEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME "NoViewOnDrive"ITEMLISTNAME !ABOnlyVALUE NUMERIC 3NAME !COnlyNAME !DOnlyNAME !ABConlyNAME !ABCDOnlyVALUE NUMERIC 4VALUE NUMERIC 8VALUE NUMERIC 7VALUE N

22、UMERIC 15NAME !ALLDrives VALUE NUMERIC DEFAULT; low 26 bits on (1 bit per drive)NAME !RestNoDrivesVALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY说明：这是两个策略，第一个!NoDrive ，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该驱动器；第二个!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是

23、仅仅用第二个的话，用户可以看见该驱动器的盘符，但不能访问，一般情况，两个同时使用，可以达到比较理想的效果。仔细观察上述代码，不难发现，其中一共有7个NAME：,正好和我们图2下拉框中的对应，后面的 VALUE NUMER4CK low 26 bits on (1 bit per drive) 的规则取值， low 26 bits on 的意思说值为 26位的二进制，最多可指定26个驱动器盘符，而 1 bit per drive 则代表 1 位代表 1 个驱动器，举例说A=1， B=2， C=4， D=8，E=16, F=32, G=64 H=128 I=256,由低到高，以此类推。我们可根据我

24、们的需要修改此代码段，假如我们要隐藏A、 B、 C、 F、 G、 H、 I ，您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所有的USB8口数(防止有人同时插入几个U盘，呵呵！)。那么我们计算出VALUE NUMERW值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =4，在两个策略中的87NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 487随后，移到文件的末尾，在ABConly="仅限制驱动器A、B和C"下面插入一行数据，ABCFGHIOnly收限制驱动器A B C F、G H、I"等于号后引号内的说明您可以根据自己的喜好定义，它将会显示在如图 2 的下拉框中。保存后，打开“屏蔽U盘”策略，定位“用户配置-管理模板-Windows组件-Windows资源管理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问驱动器”其中的一个，点击“启用”，再点击下拉框，哈哈