AD組策略禁用U盤

1、Windows組策略屏蔽U盤有妙法(圖)Windows組策略屏蔽U盤有妙法(圖) HYPERLINK /strategy/354355.html ChinaITLab收集整理 筆者在一家區(qū)級法院網(wǎng)絡(luò)中心工作，為確保局域網(wǎng)內(nèi)的計算機安全，省高院要求全省聯(lián)網(wǎng)的法院客戶端的機器光軟驅(qū)都要拆除，而且禁止在局域網(wǎng)內(nèi)使用U盤。我們知道，現(xiàn)在局域網(wǎng)中使用的操作系統(tǒng)絕大多數(shù)都是Windows系列，對于Windows 98說，做到這些并不難，因為U盤第一次使用時需要安裝相應(yīng)的驅(qū)動程序，拆除了光、軟驅(qū)后，驅(qū)動無法安裝，U盤也就無法使用，但對于Windows 2000、Windows XP來說，情況就不同了，用過U

2、盤的人都知道這些操作系統(tǒng)不需要安裝驅(qū)動，U盤即插即用。對于大多數(shù)用戶來說，這的確很方便，但對于單位有要求的網(wǎng)管來說，就頭疼了，現(xiàn)在新買的機器不能總是安裝Windows 98吧，畢竟Windows 98就要“下崗”了，但面對U盤，卻沒有好的辦法，也許您會想到可以在BIOS設(shè)置里屏蔽USB端口，但這是“寧可錯殺一千，不能放過一個”的辦法，如果您的單位客戶端沒有使用USB接口的鍵盤、鼠標、打印機等設(shè)備，那您完全可以采用此方法，不過您以后采購設(shè)備的時候要注意了，最好不要采購USB設(shè)備，除非咱們網(wǎng)管自己用，哈哈！那有沒有簡單易行的辦法呢？經(jīng)過一段時間摸索和試驗，筆者終于找到了使用修改組策略模板的方法實現(xiàn)

3、此目標。 實現(xiàn)條件當然這是有前提條件的，首先，您的局域網(wǎng)必須以域為架構(gòu)（我們知道Windows 2000、Windows XP自己都自帶有組策略編輯器，使用組策略編輯器可單獨編輯每臺機器的策略，而使用域時，只要用戶登錄到域，就會自動應(yīng)用策略，在服務(wù)器端修改一次，就可以在全域?qū)崿F(xiàn)管理目標，如果不采用域模式，您需要每臺都要設(shè)置組策略，失去了效率，也就沒有采用的必要了）。其次，客戶端必須以域用戶的身份登錄網(wǎng)絡(luò)，且不能被賦予客戶端本機管理員的權(quán)限?？蛻舳瞬僮飨到y(tǒng)推薦使用Windows 2000和Windows XP，雖然Windows 98也能在域環(huán)境下應(yīng)用組策略，但Windows 2000 Serv

4、er組策略對Windows 98的支持并不完全，且需要采用兩種完全不同的方法分別管理他們，會對您以后的網(wǎng)絡(luò)管理帶來不便。特別說明：這里介紹的方法并不適用于Windows 98，只適用于服務(wù)器端安裝Windows 2000 Server或Windows Server 2003。只要您的網(wǎng)絡(luò)滿足以上條件，我們就可以利用組策略屏蔽U盤，而對于其他USB設(shè)備卻無任何影響，筆者在單位實施1年多來，效果很好，現(xiàn)將詳細方法介紹出來，希望能給眾多網(wǎng)管們提供一點借鑒?；驹斫M策略實現(xiàn)的原理實際上就是修改注冊表，當域用戶登錄到域上時，系統(tǒng)會對指定的客戶端實施組策略，也即修改客戶端的注冊表，當我們新建了一個組策略

5、時，系統(tǒng)實際上是拷貝了三個模板文件，在您修改組策略時，實際上是在修改這些模板的副本，然后把這些策略應(yīng)用到指定的客戶端中去，然而Windows 2000 Server系統(tǒng)提供的組策略模板中并沒有我們想要的屏蔽U盤的策略，但我們可以手動修改系統(tǒng)的模板文件，使組策略模板具備屏蔽U盤的策略，實際上根據(jù)其原理，凡是修改注冊表能做到的，基本上都可以在域中使用組策略實現(xiàn)。實現(xiàn)方法1、在域控制器上打開Active Directory用戶和計算機，找到您要屏蔽U盤的組織單位（Organizational Unit 簡稱OU），右鍵查看此組織單位的屬性，點擊組策略頁面，新建一個組策略，命名并保存為“屏蔽U盤”，建

6、好后，雙擊“屏蔽U盤”（必需先打開一次，否則系統(tǒng)不會拷貝那幾個模板文件），在打開的標題為“組策略”的窗口的左邊，按以下順序定位“用戶配置管理模板-Windows組件-Windows資源管理器”，選中Windows資源管理器，在右邊的窗口中會顯示如圖1所示。我們可以看到有“隱藏我的電腦中的這些指定的驅(qū)動器”和“防止從我的電腦訪問驅(qū)動器”，雙擊打開其中一項策略，選擇“啟用”，下面的下拉框會變亮，單擊下拉框，如圖2所示，您會發(fā)現(xiàn)系統(tǒng)提供了7種限制訪問驅(qū)動器號的組合，其中也包括了“不限制驅(qū)動器”，顯然，這些組合不能滿足我們的要求（因為U盤的盤符通常是排在最后的，而且現(xiàn)在的硬盤比較大，少則也有三四個分區(qū)

7、）。2、在域控制器上打開Active Directory 用戶和計算機，在剛才我們新建的“屏蔽U盤”策略上單擊右鍵選擇查看屬性，在如圖3所示的位置找到屏蔽U盤的組策略的唯一的名稱，此名稱為一長串數(shù)字和字母組成，本例中為82F86A8E-B345-4DDC-A304-E448F6E900A9，記下此字符串。3、打開系統(tǒng)盤，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夾，此文件夾位于“C:WINNTSYSVOLPolicies”下（盤符依賴于您安裝的操作系統(tǒng)所在的分區(qū)），注意其中是您的Windows 2000的域名，打開82F86A8E-B345-4DD

8、C-A304-E448F6E900A9目錄，找到ADM目錄下的system.adm文件，此文件是我們在實施組策略的模板文件，是一個純文本文件，可用記事本打開，找到下面這兩段代碼： 引用:* POLLICYY !NoDDrivves EXPPLAIIN !NooDriivess_HeelpPARRT !NooDriivessDroopdoown DROOPDOOWNLLISTT NOOSORRT RREQUUIREEDVALLUENNAMEE NNoDrriveesITEEMLIISTNAMME !ABBOnlly VVALUUE NNUMEERICC 3NAMME !COOnlyy VAALU

9、EE NUUMERRIC 4NAMME !DOOnlyy VAALUEE NUUMERRIC 8NAMME !ABBConnly VALLUE NUMMERIIC 77NAMME !ABBCDOOnlyy VAALUEE NUUMERRIC 15NAMME !ALLLDrrivees VVALUUE NNUMEERICC 67710888633 DEEFAUULT ; llow 26 bitts oon (1 bbit perr drrivee)NAMME !ReestNNoDrrivees VVALUUE NNUMEERICC 0ENDD ITTEMLLISTT ENDD PAART END

10、D POOLICCY* PPOLIICY !NNoViiewOOnDrrivee EXPPLAIIN !NooVieewOnnDriive_HellpPARRT !NooDriivessDroopdoown DROOPDOOWNLLISTT NOOSORRT RREQUUIREEDVALLUENNAMEE NNoViiewOOnDrriveeITEEMLIISTNAMME !ABBOnlly VVALUUE NNUMEERICC 3NAMME !COOnlyy VAALUEE NUUMERRIC 4NAMME !DOOnlyy VAALUEE NUUMERRIC 8NAMME !ABBConn

11、ly VALLUE NUMMERIIC 77NAMME !ABBCDOOnlyy VAALUEE NUUMERRIC 15NAMME !ALLLDrrivees VVALUUE NNUMEERICC 67710888633 DEEFAUULT ; loww 266 biits on (1 bitt peer ddrivve)NAMME !ReestNNoDrrivees VVALUUE NNUMEERICC 0 ENDD ITTEMLLISTT ENDD PAART ENND PPOLIICY說明：這是兩兩個策略略，第一一個!NoDDrivve，它它的作用用是在我我的電腦腦中不顯顯示指定定的驅(qū)

12、動動器名，驅(qū)驅(qū)動器號號代表的的所有驅(qū)驅(qū)動器不不出現(xiàn)在在標準的的打開對對話框上上，但是是在地址址欄中輸輸入盤符符或新建建一個指指向硬盤盤盤符的的快捷方方式，用用戶仍然然可以訪訪問該驅(qū)驅(qū)動器；第二個個!NNoViiewOOnDrrivee的作用用是阻止止用戶訪訪問驅(qū)動動器?？煽梢宰柚怪股鲜銮榍闆r的出出現(xiàn)，但但是僅僅僅用第二二個的話話，用戶戶可以看看見該驅(qū)驅(qū)動器的的盤符，但但不能訪訪問，一一般情況況，兩個個同時使使用，可可以達到到比較理理想的效效果。 仔仔細觀察察上述代代碼，不不難發(fā)現(xiàn)現(xiàn)，其中中一共有有7個NNAMEE項，正正好和我我們圖22下拉框框中的一一一對應(yīng)應(yīng)，后面面的VAALUEE NUUM

13、ERRIC按按照loow 226 bbitss onn (11 biit pper driive)的規(guī)則則取值，llow 26 bitts oon的意意思說值值為266位的二二進制，最最多可指指定266個驅(qū)動動器盤符符，而11 biit pper driive則則代表11位代表表1個驅(qū)驅(qū)動器，舉舉例說AA=1，BB=2，CC=4，DD=8，EE=166，F(xiàn)=32，GG=644，H=1288，I=2566，由低低到高，以以此類推推。我們們可根據(jù)據(jù)我們的的需要修修改此代代碼段，假假如我們們要隱藏藏A、BB、C、FF、G、HH、I，您您可以根根據(jù)您的的需要而而定，推推薦隱藏藏的盤符符數(shù)量應(yīng)應(yīng)該大于于

14、您的現(xiàn)現(xiàn)有的盤盤符數(shù)加加上您客客戶端所所有的UUSB接接口數(shù)（防防止有人人同時插插入幾個個U盤，呵呵呵?。?。那那么我們們計算出出VALLUE NUMMERIIC的數(shù)數(shù)值A(chǔ)+B+CC+F+G+HH+I = 11+2+4+332+664+1128+2566 =4487，在在兩個策策略中的的NNAMEE !ABCCDOnnly VALLUE NUMMERIIC 115下插入入一行NAAME !AABCFFGHIIOnlly VVALUUE NNUMEERICC 4887隨后，移移到Syysteem.aadm文文件的末末尾，在在 ABBConnly=僅限限制驅(qū)動動器 AA、B 和 CC 下下面插入入一

15、行數(shù)數(shù)據(jù)，ABCCFGHHIOnnly=僅限限制驅(qū)動動器A、BB、C、FF、G、HH、I等于號號后引號號內(nèi)的說說明您可可以根據(jù)據(jù)自己的的喜好定定義，它它將會顯顯示在如如圖2的的下拉框框中。保保存后，打打開“屏屏蔽U盤盤”策略略，定位位“用戶戶配置-管理模模板-WWinddowss 組件件-Wiindoows 資源管管理器”，在在右邊的的窗口中中雙擊“隱隱藏我的的電腦中中的這些些指定的的驅(qū)動器器”或“防防止從我我的電腦腦訪問驅(qū)驅(qū)動器”其其中的一一個，點點擊“啟啟用”，再再點擊下下拉框，哈哈哈，您您會發(fā)現(xiàn)現(xiàn)您多了了一個選選項（如如圖4）。這時候，您只要在您想屏蔽的用戶的組織單位上應(yīng)用此策略（別忘了

16、這兩個策略都需要設(shè)置），保存后，包含于該組織單位下的用戶登錄時，便會發(fā)現(xiàn)他的U盤插上后，系統(tǒng)雖能識別并正確安裝驅(qū)動，但在“我的電腦”中卻無法看見，并且通過其他方法也無法訪問，包括在地址欄中輸入盤符。至此，全部設(shè)置完畢，讓您的客戶段使用此OU下的用戶登錄看看吧！其他注意事項：1、這種方法在您的客戶端很多的時候，很方便，您只要確?？蛻舳说卿浻脩魧儆谀褢?yīng)用此組策略的OU下即可，如果暫時需要允許他使用U盤，那只要把該用戶移出此OU，該用戶再注銷重新登錄一下就OK。2、需要注意的是，您在OU中建立用戶時，用戶缺省是屬于Domain users組，這對于大多數(shù)軟件來說沒有問題，但會使有些軟件無法安裝或運行，您可以賦予這些用戶在客戶端本機的Power user組的權(quán)限，即可解決。3、注意這種方法同時也屏蔽了您的光驅(qū)盤符，光驅(qū)也是不能訪問的。當然U盤都屏蔽了，我想光驅(qū)就更該屏蔽了，呵呵！如果實在要訪問，可以在計算機管理中的磁盤管理中賦予光驅(qū)一個靠后的盤符即可。4、OU是可以嵌套的，客戶端組策略的應(yīng)用是從域根到OU再到子OU，而且是可以覆蓋的，除非您選定了“阻止策略繼承”。如果您在