域組策禁用U盤的使用方法

1、域組策禁用U盤的使用方法1、首先你要具備一臺裝有Windows Server2003操作系統(tǒng)服務(wù)器，再次你要配置域服務(wù)器，如下圖：2、找到域控制器(Active Directory)，我簡稱它為AD,點擊管理AD中的用戶和計算機(jī)，會出現(xiàn)下圖：3、右擊Domain Controllers后，點擊屬性會出現(xiàn)下圖：4、選擇“組策略”，點擊組策略對象鏈接，再雙擊它，會出現(xiàn) 下圖：5、照圖點擊到“注冊表”，右擊“注冊表”后點擊“添加項”， 照圖上的路徑添加那兩項。注意添加圖上那兩項時的前提是你的 域服務(wù)器注冊表(“開始”-“運行”-輸入命令“regedit”就會打開注冊表）將圖上那兩項修改了。我具體說明

2、下它們的修 改值。第一項如圖：它項中的WriteProtect值默認(rèn)為“0”，更改為“1”。第二項如下圖：盤蹲瓣蟀一13回區(qū)1文件*編輯如 查看世）收藏夾 幫助Top ip Tcpip6 THFIFE THTCF T ermLUlTermServi t Themes TlrutSvr Toside TrkWks TSDDLI+ HI JTip uagp35 Udfs ufad_ws60 UfflWdf Update upnphost ITS usbccgfi usbehci u mb hub usbohciusbprintfit| Ermin usbubiciusb名稱類型數(shù)據(jù)曾獻(xiàn)認(rèn)7REG_

3、SZ檄值未設(shè)置）蘭Eli splayN：diri eFLEG_SZUSB大容星存儲設(shè)備Ko ErrorControlKEG_I也 iRIiPkoooooooi蘭Im ageP athFLEG_EXFWi_SZsystemMiBIVBSWSBSTOR. SXSStartKEG-DWURIi0 x00000003 EEGJj 和 RIi000000001 ：(!)我的 J?gjHKET LOCAL MACHINESYSTEMEurreiitCoiitrolSetSerVi；aesuSbSt3r將其中的Start的值改為“4”，默認(rèn)值為“3”表示啟用。6、添加完“注冊表”的那兩項后，關(guān)閉所有，在“開

4、始”一“運 行”一輸入命令“gpupdate”后完成。7、所有加入域中的計算機(jī)的U盤就被禁用了。另外還有種腳本 法也可禁用U盤，我沒有采用那種方法，一是它的腳本語言復(fù)雜， 二是我想用最簡單的方法去實現(xiàn)禁止U盤的使用。上述方法本人在虛擬機(jī)中已經(jīng)實現(xiàn)U盤的禁用?？梢杂媒M策略屏蔽U盤（操作說明比較長需要點耐心看完） 實現(xiàn)方法：1、在域控制器上打開Active Directory用戶和計算機(jī)，找到您要屏蔽U盤的 組織單位（Organizational Unit簡稱OU），右鏈屬性，點擊組策略頁面，新建 一個組策略，命名并保存為“屏蔽U盤”，建好后，雙擊“屏蔽U盤”（必需先打開 一次，否則系統(tǒng)不會拷貝那

5、幾個模板文件），在打開的標(biāo)題為“組策略”的窗口的 左邊，按以下順序定位“用戶配置一管理模板-Windows組件-Windows資源管理 器”，我們可以看到有“隱藏我的電腦中的這些指定的驅(qū)動器”和“防止從我的電腦 訪問驅(qū)動器”，雙擊打開其中一項策略，選擇啟用”，下面的下拉框會變亮，單擊 下拉框，您會發(fā)現(xiàn)系統(tǒng)提供了 7種限制訪問驅(qū)動器號的組合，其中也包括了“不 限制驅(qū)動器”，顯然，這些組合不能滿足要求（因為U盤的盤符通常是排在最后 的，而且現(xiàn)在的硬盤比較大，少則也有三四個分區(qū)）。2、在域控制器上打開Active Directory用戶和計算機(jī)，在剛才新建的屏蔽U 盤”策略上單擊右鍵選擇查看屬性，找

6、到”屏蔽U盤”的組策略的唯一的名稱，此 名稱為一長串?dāng)?shù)字和字母組成，記下此字符串。3、打開系統(tǒng)盤，定位以命名的文件夾，此文件夾位于“C:WINNTSYSVOLPoliciesnT(盤符依賴于您安裝的操作系統(tǒng)所 在的分區(qū))，注意其中是您的Windows 2000的域名，打開目錄， 找到ADM目錄下的system.adm文件，此文件是我們在實施組策略的模板文件， 是一個純文本文件，可用記事本打開，找到下面這兩段代碼：* POLICY !NoDrivesEXPLAIN !NoDrives_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDV

7、ALUENAME NoDrivesVALUE NUMERIC 3VALUE NUMERIC 4VALUE NUMERIC 8VALUE NUMERIC 7VALUE NUMERIC 15ITEMLISTNAME !ABOnlyNAME !COnlyNAME !DOnlyNAME !ABConlyNAME !ABCDOnlyNAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT;low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND P

8、OLICY* POLICY !NoViewOnDriveEXPLAIN !NoViewOnDrive_HelpPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIREDVALUENAME NoViewOnDriveITEMLISTNAME !ABOnlyNAME !COnlyNAME !DOnlyNAME !ABConlyVALUE NUMERIC 3VALUE NUMERIC 4VALUE NUMERIC 8VALUE NUMERIC 7NAME !ABCDOnly VALUE NUMERIC 15NAME !ALLDrives VALUE NUM

9、ERIC 67108863 DEFAULT;low 26 bits on (1 bit per drive)NAME !RestNoDrives VALUE NUMERIC 0END ITEMLISTEND PARTEND POLICY說明：這是兩個策略，第一個!NoDrive，它的作用是在我的電腦中不顯示指 定的驅(qū)動器名，驅(qū)動器號代表的所有驅(qū)動器不出現(xiàn)在標(biāo)準(zhǔn)的打開對話框上，但是 在地址欄中輸入盤符或新建一個指向硬盤盤符的快捷方式，用戶仍然可以訪問該 驅(qū)動器；第二個!NoViewOnDrive的作用是阻止用戶訪問驅(qū)動器。可以阻止上述 情況的出現(xiàn)，但是僅僅用第二個的話，用戶可以看見該驅(qū)動器的盤符

10、，但不能訪 問，一般情況，兩個同時使用，可以達(dá)到比較理想的效果。仔細(xì)觀察上述代碼，不難發(fā)現(xiàn)，其中一共有7個NAME項，正好和我們圖2 下拉框中的一一對應(yīng)，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的規(guī)則取值，low 26 bits on的意思說值為26位的二進(jìn)制，最多可指定26 個驅(qū)動器盤符，而1 bit per drive則代表1位代表1個驅(qū)動器，舉例說A=1，B=2, C=4，D=8，E=16，F(xiàn)=32，G=64，H=128，256，由低到高，以此類推。我 們可根據(jù)我們的需要修改此代碼段，假如我們要隱藏A、B、C、F、G、H、I，

11、您可以根據(jù)您的需要而定，推薦隱藏的盤符數(shù)量應(yīng)該大于您的現(xiàn)有的盤符數(shù)加上 您客戶端所有的USB接口數(shù)(防止有人同時插入幾個U盤)。那么我們計算出 VALUE NUMERIC 的數(shù)值 A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487, 在兩個策略中的NAME !ABCDOnly VALUE NUMERIC 15下插入一行NAME !ABCFGHIOnly VALUE NUMERIC 487隨后，移到System.adm文件的末尾，在ABConly=僅限制驅(qū)動器A、B和 C下面插入一行數(shù)據(jù)，ABCFGHIOnly=僅限制驅(qū)動器A、B、C、F、G、H、I等于號后引號內(nèi)的

12、說明您可以根據(jù)自己的喜好定義，它將會顯示在如圖2的下拉 框中。保存后，打開“屏蔽U盤”策略，定位“用戶配置-管理模板-Windows組件 -Windows資源管理器”，在右邊的窗口中雙擊“隱藏我的電腦中的這些指定的驅(qū) 動器”或“防止從我的電腦訪問驅(qū)動器”其中的一個，點擊“啟用”，再點擊下拉框， 您會發(fā)現(xiàn)您多了一個選項。這時候，您只要在您想屏蔽的用戶的組織單位上應(yīng)用此策略，保存后，包含于 該組織單位下的用戶登錄時，便會發(fā)現(xiàn)他的U盤插上后，系統(tǒng)雖能識別并正確 安裝驅(qū)動，但在“我的電腦”中卻無法看見，并且通過其他方法也無法訪問，包括 在地址欄中輸入盤符。至此，全部設(shè)置完畢，讓你的客戶段使用此OU下的

13、用戶登錄就可以了其他注意事項：1、這種方法在您的客戶端很多的時候，很方便，您只要確保客戶端登錄用戶 屬于您已應(yīng)用此組策略的OU下即可，如果暫時需要允許他使用U盤，那只要 把該用戶移出此OU，該用戶再注銷重新登錄一下就OK。2、需要注意的是，您在OU中建立用戶時，用戶缺省是屬于Domain users 組，這對于大多數(shù)軟件來說沒有問題，但會使有些軟件無法安裝或運行，您可以 賦予這些用戶在客戶端本機(jī)的Power user組的權(quán)限，即可解決。3、注意這種方法同時也屏蔽了您的光驅(qū)盤符，光驅(qū)也是不能訪問的。當(dāng)然U 盤都屏蔽了，我想光驅(qū)就更該屏蔽了，呵呵！如果實在要訪問，可以在計算機(jī)管 理中的磁盤管理中賦予光驅(qū)一個靠后的盤符即可。4、OU是可以嵌套的，客戶端組策略的應(yīng)用是從域根到OU再到子OU，而且 是可以覆蓋的，除非您選定了“阻止策略繼承”。如果您在父OU上設(shè)置了屏蔽U 盤，但在子OU中又取消了屏蔽，那么客戶端的U盤是不會被屏蔽的。5、如果您在一個OU中設(shè)置了此