域组策禁用U盘的使用方法

1、域组策禁用U盘的使用方法1、首先你要具备一台装有Windows Server2003操作系统服务器，再次你要配置域服务器，如下图：2、找到域控制器(Active Directory)，我简称它为AD,点击管理AD中的用户和计算机，会出现下图：3、右击Domain Controllers后，点击属性会出现下图：4、选择“组策略”，点击组策略对象链接，再双击它，会出现 下图：5、照图点击到“注册表”，右击“注册表”后点击“添加项”， 照图上的路径添加那两项。注意添加图上那两项时的前提是你的 域服务器注册表(“开始”-“运行”-输入命令“regedit”就会打开注册表）将图上那两项修改了。我具体说明

2、下它们的修 改值。第一项如图：它项中的WriteProtect值默认为“0”，更改为“1”。第二项如下图：盘蹲瓣蟀一13回区1文件*编辑如 查看世）收藏夹 帮助Top ip Tcpip6 THFIFE THTCF T ermLUlTermServi t Themes TlrutSvr Toside TrkWks TSDDLI+ HI JTip uagp35 Udfs ufad_ws60 UfflWdf Update upnphost ITS usbccgfi usbehci u mb hub usbohciusbprintfit| Ermin usbubiciusb名称类型数据曾献认7REG_

3、SZ檄值未设置）兰Eli splayN：diri eFLEG_SZUSB大容星存储设备Ko ErrorControlKEG_I也 iRIiPkoooooooi兰Im ageP athFLEG_EXFWi_SZsystemMiBIVBSWSBSTOR. SXSStartKEG-DWURIi0 x00000003 EEGJj 和 RIi000000001 ：(!)我的 J?gjHKET LOCAL MACHINESYSTEMEurreiitCoiitrolSetSerVi；aesuSbSt3r将其中的Start的值改为“4”，默认值为“3”表示启用。6、添加完“注册表”的那两项后，关闭所有，在“开

4、始”一“运 行”一输入命令“gpupdate”后完成。7、所有加入域中的计算机的U盘就被禁用了。另外还有种脚本 法也可禁用U盘，我没有采用那种方法，一是它的脚本语言复杂， 二是我想用最简单的方法去实现禁止U盘的使用。上述方法本人在虚拟机中已经实现U盘的禁用。可以用组策略屏蔽U盘（操作说明比较长需要点耐心看完） 实现方法：1、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的 组织单位（Organizational Unit简称OU），右链属性，点击组策略页面，新建 一个组策略，命名并保存为“屏蔽U盘”，建好后，双击“屏蔽U盘”（必需先打开 一次，否则系统不会拷贝那

5、几个模板文件），在打开的标题为“组策略”的窗口的 左边，按以下顺序定位“用户配置一管理模板-Windows组件-Windows资源管理 器”，我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑 访问驱动器”，双击打开其中一项策略，选择启用”，下面的下拉框会变亮，单击 下拉框，您会发现系统提供了 7种限制访问驱动器号的组合，其中也包括了“不 限制驱动器”，显然，这些组合不能满足要求（因为U盘的盘符通常是排在最后 的，而且现在的硬盘比较大，少则也有三四个分区）。2、在域控制器上打开Active Directory用户和计算机，在刚才新建的屏蔽U 盘”策略上单击右键选择查看属性，找

6、到”屏蔽U盘”的组策略的唯一的名称，此 名称为一长串数字和字母组成，记下此字符串。3、打开系统盘，定位以命名的文件夹，此文件夹位于“C:WINNTSYSVOLPoliciesnT(盘符依赖于您安装的操作系统所 在的分区)，注意其中是您的Windows 2000的域名，打开目录， 找到ADM目录下的system.adm文件，此文件是我们在实施组策略的模板文件， 是一个纯文本文件，可用记事本打开，找到下面这两段代码：* POLICY !NoDrivesEXPLAIN !NoDrives_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDV

7、ALUENAME NoDrivesVALUE NUMERIC 3VALUE NUMERIC 4VALUE NUMERIC 8VALUE NUMERIC 7VALUE NUMERIC 15ITEMLISTNAME !ABOnlyNAME !COnlyNAME !DOnlyNAME !ABConlyNAME !ABCDOnlyNAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT;low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND P

8、OLICY* POLICY !NoViewOnDriveEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME NoViewOnDriveITEMLISTNAME !ABOnlyNAME !COnlyNAME !DOnlyNAME !ABConlyVALUE NUMERIC 3VALUE NUMERIC 4VALUE NUMERIC 8VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUM

9、ERIC 67108863 DEFAULT;low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY说明：这是两个策略，第一个!NoDrive，它的作用是在我的电脑中不显示指 定的驱动器名，驱动器号代表的所有驱动器不出现在标准的打开对话框上，但是 在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户仍然可以访问该 驱动器；第二个!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述 情况的出现，但是仅仅用第二个的话，用户可以看见该驱动器的盘符

10、，但不能访 问，一般情况，两个同时使用，可以达到比较理想的效果。仔细观察上述代码，不难发现，其中一共有7个NAME项，正好和我们图2 下拉框中的一一对应，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规则取值，low 26 bits on的意思说值为26位的二进制，最多可指定26 个驱动器盘符，而1 bit per drive则代表1位代表1个驱动器，举例说A=1，B=2, C=4，D=8，E=16，F=32，G=64，H=128，256，由低到高，以此类推。我 们可根据我们的需要修改此代码段，假如我们要隐藏A、B、C、F、G、H、I，

11、您可以根据您的需要而定，推荐隐藏的盘符数量应该大于您的现有的盘符数加上 您客户端所有的USB接口数(防止有人同时插入几个U盘)。那么我们计算出 VALUE NUMERIC 的数值 A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487, 在两个策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 487随后，移到System.adm文件的末尾，在ABConly=仅限制驱动器A、B和 C下面插入一行数据，ABCFGHIOnly=仅限制驱动器A、B、C、F、G、H、I等于号后引号内的

12、说明您可以根据自己的喜好定义，它将会显示在如图2的下拉 框中。保存后，打开“屏蔽U盘”策略，定位“用户配置-管理模板-Windows组件 -Windows资源管理器”，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱 动器”或“防止从我的电脑访问驱动器”其中的一个，点击“启用”，再点击下拉框， 您会发现您多了一个选项。这时候，您只要在您想屏蔽的用户的组织单位上应用此策略，保存后，包含于 该组织单位下的用户登录时，便会发现他的U盘插上后，系统虽能识别并正确 安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括 在地址栏中输入盘符。至此，全部设置完毕，让你的客户段使用此OU下的

13、用户登录就可以了其他注意事项：1、这种方法在您的客户端很多的时候，很方便，您只要确保客户端登录用户 属于您已应用此组策略的OU下即可，如果暂时需要允许他使用U盘，那只要 把该用户移出此OU，该用户再注销重新登录一下就OK。2、需要注意的是，您在OU中建立用户时，用户缺省是属于Domain users 组，这对于大多数软件来说没有问题，但会使有些软件无法安装或运行，您可以 赋予这些用户在客户端本机的Power user组的权限，即可解决。3、注意这种方法同时也屏蔽了您的光驱盘符，光驱也是不能访问的。当然U 盘都屏蔽了，我想光驱就更该屏蔽了，呵呵！如果实在要访问，可以在计算机管 理中的磁盘管理中赋予光驱一个靠后的盘符即可。4、OU是可以嵌套的，客户端组策略的应用是从域根到OU再到子OU，而且 是可以覆盖的，除非您选定了“阻止策略继承”。如果您在父OU上设置了屏蔽U 盘，但在子OU中又取消了屏蔽，那么客户端的U盘是不会被屏蔽的。5、如果您在一个OU中设置了此