Windows組策略屏蔽U盤有妙法

1、windows組策略屏蔽u盤有妙法基本原理組策略實(shí)現(xiàn)的原理實(shí)際上就是修改注冊(cè)表，當(dāng)域用戶登錄到域上時(shí)，系統(tǒng)會(huì)對(duì)指定的客 戶端實(shí)施組策略，也即修改客戶端的注冊(cè)表，當(dāng)我們新建了一個(gè)組策略時(shí)，系統(tǒng)實(shí)際上是拷 貝了三個(gè)模板文件，在您修改組策略時(shí)，實(shí)際上是在修改這些模板的副本，然后把這些策略 應(yīng)用到指定的客戶端中去，然rftl" windows 2000 server系統(tǒng)提供的組策略模板中并沒有我們 想要的屏蔽u盤的策略，但我們可以手動(dòng)修改系統(tǒng)的模板文件，使組策略模板具備屏蔽i；盤 的策略，實(shí)際上根據(jù)其原理，凡是修改注冊(cè)表能做到的，基本上都可以在域中使用組策略實(shí) 現(xiàn)。實(shí)現(xiàn)方法1、在域控制器上打

2、開active directory用戶和計(jì)算機(jī)，找到您要屏蔽u盤的組織單位 (organizational unit簡(jiǎn)稱0u),右鍵査看此組織單位的屬性,點(diǎn)擊組策略頁面,新建一 個(gè)組策略，命名并保存為“屏蔽u盤”，建好后，雙擊“屏蔽u盤”(必需先打開一次，否 則系統(tǒng)不會(huì)拷貝那幾個(gè)模板文件)，在打開的標(biāo)題為“組策略”的窗口的左邊，按以卜順序定 位"用戶配置一管理模板-windows組件-windows資源管理器”，選屮windows資源管理器， 在右邊的窗口中會(huì)顯示如圖1所示。 .ji*c«<-3率5jutari -am j啊沁e mt« nipwrq如碉申誦

3、耳.廠'"i jl« . jrh2沁iscmnihmmii”常曾林m中哥紀(jì)卞并聯(lián)*1!序i殆leffhi *!»*9ifl 時(shí)峙 «mmwiarss w t* isikwmsr憐t“wr谿直仍3科咖!rir»f<in*«»«v1!t我們可以看到有“隱藏我的電腦屮的這些指定的驅(qū)動(dòng)器”和“防止從我的電腦訪問驅(qū)動(dòng) 器”，雙擊打開具中一項(xiàng)策略，選擇“啟用”，下面的下拉框會(huì)變亮，單擊下拉框，如圖2 所示，您會(huì)發(fā)現(xiàn)系統(tǒng)提供了7種限制訪問驅(qū)動(dòng)器號(hào)的組合，其中也包括了 “不限制驅(qū)動(dòng)器”, 顯然，這些組合不能滿足我們的

4、要求（因?yàn)閡盤的盤符通常是排在最后的，而且現(xiàn)在的硬盤 比較大，少則也有三四個(gè)分區(qū)）。ft -< -tuqg(5t 叫<)8 ibk|me«4dtb wxw、jas &«> jrb亠fttitmf>總 ji x<i® &祈1 -jutl 疋 j-440-10 e -jt«wjvhwrwwl jmwr jx杯3 -j*- j jsmnctomwwu5恥54叭 2 j)2、在域控制器上打開active directory用戶和計(jì)算機(jī)，在剛才我們新建的"屏蔽u盤” 策略上單擊右鍵選擇查看屬性，在如圖3所示的

5、位置找到屏蔽u盤的組策略的唯一的名稱, 此名稱為一長(zhǎng)串?dāng)?shù)字和字母組成，本例中為82f86a8e-b345-4ddc-a304-e448f6e900a9,記 下此字符串。3、打開系統(tǒng)盤，定位以82f86a8e-b345-4ddc-a304-e448f6e900a9命名的文件夾，此文 件夾位于uc:winntsysvolbaling. com. cnpolicies"下(盤符依賴丁您安裝的操作系統(tǒng)所在 的分區(qū))，注 意其中baling. com. cn是 您 的windows 2000的 域名，打開 82f86a8e-b345-4ddc-a304-e448f6e900a9目錄，找到 ad

6、m 目錄下的 system, adm 文件，此文 件是我們?cè)趯?shí)施組策略的模板文件，是一個(gè)純文本文件，可用記事本打開，找到下面這兩段 代碼：* policy !nodrivesexplain !nodrives_helppart !nodrivesdropdown dropdownlist nosort requiredvaluename nodrivesitemlistname!iabonlyvaluenumeric3name!c0nlyvaluenumeric4name!d0nlyvaluenumeric8name!abconlyvaluenumeric7name!iabcdonlyvalu

7、e numeric 15name !ialldrives value numeric 67108863 default ;low 26 bits on (1 bit per drive)name !restnodrives value numeric 0end itemlistend partend policy* policy !noviewondriveexplain !noviewondrive_helppart !nodrivesdropdown dropdownlist nosort required valuename "noviewondrive"itemli

8、st!ab0nly!c0nly!d0nly! jabconly! iabcdonlynamenamenamenamenamenamevaluevaluevaluevaluenumericnumericnumericnumeric3487value numeric 15! ialldrives value numeric 67108863 default;low 26 bits on (1 bit per drive)name! jrestnodrivcs value numeric 0end ttemltstend partend policy說明：這是兩個(gè)策略，第一個(gè)!nodrive,它的作

9、用是在我的電腦中不顯示指定的驅(qū)動(dòng)器 名，驅(qū)動(dòng)器號(hào)代表的所有驅(qū)動(dòng)器不岀現(xiàn)在標(biāo)準(zhǔn)的打開對(duì)話框上，但是在地址欄中輸入盤符或 新建一個(gè)指向硬盤盤符的快捷方式，用戶仍然可以訪問該驅(qū)動(dòng)器；第二個(gè)! jnoviewondrive 的作用是阻止用戶訪問驅(qū)動(dòng)器?？梢宰柚股鲜銮闆r的出現(xiàn)，但是僅僅用第二個(gè)的話，用戶可 以看見該驅(qū)動(dòng)器的盤符，但不能訪問，一般悄況，兩個(gè)同時(shí)使用，可以達(dá)到比較理想的效果。仔細(xì)觀察上述代碼，不難發(fā)現(xiàn)，其中一共有7個(gè)mme項(xiàng)，正好和我們圖2下拉框中的一 一對(duì)應(yīng)，后面的 value numeric 按照 low 26 bits on (1 bit per drive)的規(guī)則取值，low 26

10、bits on的意思說值為26位的一進(jìn)制，最多可指定26個(gè)驅(qū)動(dòng)器盤符，而1 bit per drive則代表 1 位代表 1 個(gè)驅(qū)動(dòng)器,舉例說 a=l, b=2, c=4, d=8, e=16, f=32, g=64, h二 128, 1 二256, 由低到高，以此類推。我們可根據(jù)我們的需要修改此代碼段，假如我們耍隱藏a、b、c、f、 g、h、i,您可以根據(jù)您的需要而定，推薦隱藏的盤符數(shù)量應(yīng)該大于您的現(xiàn)有的盤符數(shù)加上您 客戶端所有的usb接口數(shù)（防止有人同時(shí)插入幾個(gè)u盤，卩可呵！）。那么我們計(jì)算出value numeric 的數(shù)值 a+b+c+f+g+h+i = 1+2+4+32+64+128

11、+256 =487,在兩個(gè)策略中的name !jabcdonly value numeric 15下插入一行name !iabcfghionly value numeric 487隨后,移到system, adm文件的末尾,在abconly二僅限制驅(qū)動(dòng)器a、b和c下面插入 一行數(shù)據(jù)，abcfghionly二僅限制驅(qū)動(dòng)器 a、b、c、f、g、h、1等于號(hào)后引號(hào)內(nèi)的說明您可以根據(jù)自己的喜好定義，它將會(huì)顯示在如圖2的下拉框屮。保存 后，打開“屏蔽u盤”策略，定位“用戶配置-管理模板-windows組件-windows資源管理 器”，在右邊的窗口中雙擊“隱藏我的電腦中的這些指定的驅(qū)動(dòng)器”或“防止從我的

12、電腦訪 問驅(qū)動(dòng)器”其屮的一個(gè)，點(diǎn)擊“啟用”，再點(diǎn)擊下拉框，哈哈，您會(huì)發(fā)現(xiàn)您多了一個(gè)選項(xiàng)（如 圖4）。zk ittur > - cl x ry sfr ri*-mm這時(shí)候，您只耍在您想屏蔽的用戶的組織單位上應(yīng)用此策略（別忘了這兩個(gè)策略都需耍 設(shè)置），保存后，包含于該組織單位下的用戶登錄時(shí)，便會(huì)發(fā)現(xiàn)他的u盤插上后，系統(tǒng)雖能 識(shí)別并正確安裝驅(qū)動(dòng)，但在“我的電腦”屮卻無法看見，并月通過其他方法也無法訪問，包 括在地址欄屮輸入盤符。至此，全部設(shè)置完畢，讓您的客戶段使用此0u下的用戶登錄看看吧！其他注意事項(xiàng)：1、這種方法在您的客戶端很多的時(shí)候，很方便，您只要確?？蛻舳说卿浻脩魧儆谀簯?yīng) 用此組策略的

13、0u下即可，如果暫時(shí)需要允許他使用u盤，那只要把該用戶移出此0u,該用 戶再注銷重新登錄-下就0k。2、需要注意的是，您在0u中建立用戶時(shí)，用戶缺省是屬于domain users組，這對(duì)于人 多數(shù)軟件來說沒有問題，但會(huì)使有些軟件無法安裝或運(yùn)行，您可以賦予這些用戶在客戶端本 機(jī)的power user組的權(quán)限，即可解決。3、注意這種方法同時(shí)也屏蔽了您的光驅(qū)盤符，光驅(qū)也是不能訪問的。當(dāng)然u盤都屏蔽了, 我想光驅(qū)就更該屏蔽了，呵呵！如果實(shí)在耍訪問，可以在計(jì)算機(jī)管理中的磁盤管理中賦予光 驅(qū)一個(gè)靠后的盤符即可。4、0u是可以嵌套的，客戶端組策略的應(yīng)用是從域根到0u再到子0u,而且是可以覆蓋的, 除非您選定了 “阻止策略繼承”。如果您在父0u上設(shè)置了屏蔽u盤，但在子0u小又取消了 屏蔽，那么客戶端的u盤是不會(huì)被屏蔽的。5、如果您在一個(gè)0u中設(shè)置了此屏