Windows組策略屏蔽U盤有妙法

1、windows組策略屏蔽u盤有妙法基本原理組策略實(shí)現(xiàn)的原理實(shí)際上就是修改注冊表，當(dāng)域用戶登錄到域上時，系統(tǒng)會對指定的客 戶端實(shí)施組策略，也即修改客戶端的注冊表，當(dāng)我們新建了一個組策略時，系統(tǒng)實(shí)際上是拷 貝了三個模板文件，在您修改組策略時，實(shí)際上是在修改這些模板的副本，然后把這些策略 應(yīng)用到指定的客戶端中去，然rftl" windows 2000 server系統(tǒng)提供的組策略模板中并沒有我們 想要的屏蔽u盤的策略，但我們可以手動修改系統(tǒng)的模板文件，使組策略模板具備屏蔽i；盤 的策略，實(shí)際上根據(jù)其原理，凡是修改注冊表能做到的，基本上都可以在域中使用組策略實(shí) 現(xiàn)。實(shí)現(xiàn)方法1、在域控制器上打

2、開active directory用戶和計(jì)算機(jī)，找到您要屏蔽u盤的組織單位 (organizational unit簡稱0u),右鍵査看此組織單位的屬性,點(diǎn)擊組策略頁面,新建一 個組策略，命名并保存為“屏蔽u盤”，建好后，雙擊“屏蔽u盤”(必需先打開一次，否 則系統(tǒng)不會拷貝那幾個模板文件)，在打開的標(biāo)題為“組策略”的窗口的左邊，按以卜順序定 位"用戶配置一管理模板-windows組件-windows資源管理器”，選屮windows資源管理器， 在右邊的窗口中會顯示如圖1所示。 .ji*c«<-3率5jutari -am j啊沁e mt« nipwrq如碉申誦

3、耳.廠'"i jl« . jrh2沁iscmnihmmii”常曾林m中哥紀(jì)卞并聯(lián)*1!序i殆leffhi *!»*9ifl 時峙 «mmwiarss w t* isikwmsr憐t“wr谿直仍3科咖!rir»f<in*«»«v1!t我們可以看到有“隱藏我的電腦屮的這些指定的驅(qū)動器”和“防止從我的電腦訪問驅(qū)動 器”，雙擊打開具中一項(xiàng)策略，選擇“啟用”，下面的下拉框會變亮，單擊下拉框，如圖2 所示，您會發(fā)現(xiàn)系統(tǒng)提供了7種限制訪問驅(qū)動器號的組合，其中也包括了 “不限制驅(qū)動器”, 顯然，這些組合不能滿足我們的

4、要求（因?yàn)閡盤的盤符通常是排在最后的，而且現(xiàn)在的硬盤 比較大，少則也有三四個分區(qū)）。ft -< -tuqg(5t 叫<)8 ibk|me«4dtb wxw、jas &«> jrb亠fttitmf>總 ji x<i® &祈1 -jutl 疋 j-440-10 e -jt«wjvhwrwwl jmwr jx杯3 -j*- j jsmnctomwwu5恥54叭 2 j)2、在域控制器上打開active directory用戶和計(jì)算機(jī)，在剛才我們新建的"屏蔽u盤” 策略上單擊右鍵選擇查看屬性，在如圖3所示的

5、位置找到屏蔽u盤的組策略的唯一的名稱, 此名稱為一長串?dāng)?shù)字和字母組成，本例中為82f86a8e-b345-4ddc-a304-e448f6e900a9,記 下此字符串。3、打開系統(tǒng)盤，定位以82f86a8e-b345-4ddc-a304-e448f6e900a9命名的文件夾，此文 件夾位于uc:winntsysvolbaling. com. cnpolicies"下(盤符依賴丁您安裝的操作系統(tǒng)所在 的分區(qū))，注 意其中baling. com. cn是 您 的windows 2000的 域名，打開 82f86a8e-b345-4ddc-a304-e448f6e900a9目錄，找到 ad

6、m 目錄下的 system, adm 文件，此文 件是我們在實(shí)施組策略的模板文件，是一個純文本文件，可用記事本打開，找到下面這兩段 代碼：* policy !nodrivesexplain !nodrives_helppart !nodrivesdropdown dropdownlist nosort requiredvaluename nodrivesitemlistname!iabonlyvaluenumeric3name!c0nlyvaluenumeric4name!d0nlyvaluenumeric8name!abconlyvaluenumeric7name!iabcdonlyvalu

7、e numeric 15name !ialldrives value numeric 67108863 default ;low 26 bits on (1 bit per drive)name !restnodrives value numeric 0end itemlistend partend policy* policy !noviewondriveexplain !noviewondrive_helppart !nodrivesdropdown dropdownlist nosort required valuename "noviewondrive"itemli

8、st!ab0nly!c0nly!d0nly! jabconly! iabcdonlynamenamenamenamenamenamevaluevaluevaluevaluenumericnumericnumericnumeric3487value numeric 15! ialldrives value numeric 67108863 default;low 26 bits on (1 bit per drive)name! jrestnodrivcs value numeric 0end ttemltstend partend policy說明：這是兩個策略，第一個!nodrive,它的作

9、用是在我的電腦中不顯示指定的驅(qū)動器 名，驅(qū)動器號代表的所有驅(qū)動器不岀現(xiàn)在標(biāo)準(zhǔn)的打開對話框上，但是在地址欄中輸入盤符或 新建一個指向硬盤盤符的快捷方式，用戶仍然可以訪問該驅(qū)動器；第二個! jnoviewondrive 的作用是阻止用戶訪問驅(qū)動器?？梢宰柚股鲜銮闆r的出現(xiàn)，但是僅僅用第二個的話，用戶可 以看見該驅(qū)動器的盤符，但不能訪問，一般悄況，兩個同時使用，可以達(dá)到比較理想的效果。仔細(xì)觀察上述代碼，不難發(fā)現(xiàn)，其中一共有7個mme項(xiàng)，正好和我們圖2下拉框中的一 一對應(yīng)，后面的 value numeric 按照 low 26 bits on (1 bit per drive)的規(guī)則取值，low 26

10、bits on的意思說值為26位的一進(jìn)制，最多可指定26個驅(qū)動器盤符，而1 bit per drive則代表 1 位代表 1 個驅(qū)動器,舉例說 a=l, b=2, c=4, d=8, e=16, f=32, g=64, h二 128, 1 二256, 由低到高，以此類推。我們可根據(jù)我們的需要修改此代碼段，假如我們耍隱藏a、b、c、f、 g、h、i,您可以根據(jù)您的需要而定，推薦隱藏的盤符數(shù)量應(yīng)該大于您的現(xiàn)有的盤符數(shù)加上您 客戶端所有的usb接口數(shù)（防止有人同時插入幾個u盤，卩可呵?。Ｄ敲次覀冇?jì)算出value numeric 的數(shù)值 a+b+c+f+g+h+i = 1+2+4+32+64+128

11、+256 =487,在兩個策略中的name !jabcdonly value numeric 15下插入一行name !iabcfghionly value numeric 487隨后,移到system, adm文件的末尾,在abconly二僅限制驅(qū)動器a、b和c下面插入 一行數(shù)據(jù)，abcfghionly二僅限制驅(qū)動器 a、b、c、f、g、h、1等于號后引號內(nèi)的說明您可以根據(jù)自己的喜好定義，它將會顯示在如圖2的下拉框屮。保存 后，打開“屏蔽u盤”策略，定位“用戶配置-管理模板-windows組件-windows資源管理 器”，在右邊的窗口中雙擊“隱藏我的電腦中的這些指定的驅(qū)動器”或“防止從我的

12、電腦訪 問驅(qū)動器”其屮的一個，點(diǎn)擊“啟用”，再點(diǎn)擊下拉框，哈哈，您會發(fā)現(xiàn)您多了一個選項(xiàng)（如 圖4）。zk ittur > - cl x ry sfr ri*-mm這時候，您只耍在您想屏蔽的用戶的組織單位上應(yīng)用此策略（別忘了這兩個策略都需耍 設(shè)置），保存后，包含于該組織單位下的用戶登錄時，便會發(fā)現(xiàn)他的u盤插上后，系統(tǒng)雖能 識別并正確安裝驅(qū)動，但在“我的電腦”屮卻無法看見，并月通過其他方法也無法訪問，包 括在地址欄屮輸入盤符。至此，全部設(shè)置完畢，讓您的客戶段使用此0u下的用戶登錄看看吧！其他注意事項(xiàng)：1、這種方法在您的客戶端很多的時候，很方便，您只要確保客戶端登錄用戶屬于您己應(yīng) 用此組策略的

13、0u下即可，如果暫時需要允許他使用u盤，那只要把該用戶移出此0u,該用 戶再注銷重新登錄-下就0k。2、需要注意的是，您在0u中建立用戶時，用戶缺省是屬于domain users組，這對于人 多數(shù)軟件來說沒有問題，但會使有些軟件無法安裝或運(yùn)行，您可以賦予這些用戶在客戶端本 機(jī)的power user組的權(quán)限，即可解決。3、注意這種方法同時也屏蔽了您的光驅(qū)盤符，光驅(qū)也是不能訪問的。當(dāng)然u盤都屏蔽了, 我想光驅(qū)就更該屏蔽了，呵呵！如果實(shí)在耍訪問，可以在計(jì)算機(jī)管理中的磁盤管理中賦予光 驅(qū)一個靠后的盤符即可。4、0u是可以嵌套的，客戶端組策略的應(yīng)用是從域根到0u再到子0u,而且是可以覆蓋的, 除非您選定了 “阻止策略繼承”。如果您在父0u上設(shè)置了屏蔽u盤，但在子0u小又取消了 屏蔽，那么客戶端的u盤是不會被屏蔽的。5、如果您在一個0u中設(shè)置了此屏