AD组策略禁用U盘

1、.：.；Windows组战略屏蔽U盘有妙法(图)Windows组战略屏蔽U盘有妙法(图)$ G$ z& h/ ?) K9 L& s8 l j% ) ?4 ( C% y# Y & ( HYPERLINK windows.chinaitlab/strategy/354355.html t _blank ChinaITLab搜集整理 0 y/ ?3 s) r# W. p# u6 | x; t& - _) 5 Y9 O笔者在一家区级法院网络中心任务，为确保局域网内的计算机平安，省高院要求全省联网的法院客户端的机器光软驱都要撤除，而且制止在局域网内运用U盘。我们知道，如今局域网中运用的操作系统绝大多数都

2、是Windows系列，对于Windows 98说，做到这些并不难，由于U盘第一次运用时需求安装相应的驱动程序，撤除了光、软驱后，驱动无法安装，U盘也就无法运用，但对于Windows 2000、Windows XP来说，情况就不同了，用过U盘的人都知道这些操作系统不需求安装驱动，U盘即插即用。/ M# Q y6 H; x u+ V9 a ; K2 S* m1 s3 f0 3 n6 k对于大多数用户来说，这确实很方便，但对于单位有要求的网管来说，就头疼了，如今新买的机器不能总是安装Windows 98吧，毕竟Windows 98就要“下岗了，但面对U盘，却没有好的方法，也许您会想到可以在BIOS设

3、置里屏蔽USB端口，但这是“宁可错杀一千，不能放过一个的方法，假设您的单位客户端没有运用USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不过您以后采购设备的时候要留意了，最好不要采购USB设备，除非我们网管本人用，哈哈！那有没有简单易行的方法呢？经过一段时间探求和实验，笔者终于找到了运用修正组战略模板的方法实现此目的。 9 d9 R! 1 B- D$ o1 Q$ x+ X- ?4 F3 R4 Z实现条件! B; s& f. S) U, t7 f% I6 c$ C3 l2 X; T/ w当然这是有前提条件的，首先，您的局域网必需以域为架构我们知道Windows 2000、Windo

4、ws XP本人都自带有组战略编辑器，运用组战略编辑器可单独编辑每台机器的战略，而运用域时，只需用户登录到域，就会自动运用战略，在效力器端修正一次，就可以在全域实现管理目的，假设不采用域方式，您需求每台都要设置组战略，失去了效率，也就没有采用的必要了。, |( M- c: a, _, Y* b2 c5 H& a: j6 1 E其次，客户端必需以域用户的身份登录网络，且不能被赋予客户端本机管理员的权限。客户端操作系统引荐运用Windows 2000和Windows XP，虽然Windows 98也能在域环境下运用组战略，但Windows 2000 Server组战略对Windows 98的支持并不

5、完全，且需求采用两种完全不同的方法分别管理他们，会对您以后的网络管理带来不便。; f7 z2 h9 ) P5 b# e1 # y9 i- V5 B7 h; _特别阐明：这里引见的方法并不适用于Windows 98，只适用于效力器端安装Windows 2000 Server或Windows Server 2003。只需您的网络满足以上条件，我们就可以利用组战略屏蔽U盘，而对于其他USB设备却无任何影响，笔者在单位实施1年多来，效果很好，现将详细方法引见出来，希望能给众多网管们提供一点自创。 n3 G& / n6 ?8 G9 V$ d: d& j0 3 h V+ L根本原理( A( E! z5 m

6、4 G( P O: 4 N) ?0 * b0 h: W. m$ _9 w3 组战略实现的原理实践上就是修正注册表，当域用户登录到域上时，系统会对指定的客户端实施组战略，也即修正客户端的注册表，当我们新建了一个组战略时，系统实践上是拷贝了三个模板文件，在您修正组战略时，实践上是在修正这些模板的副本，然后把这些战略运用到指定的客户端中去，然而Windows 2000 Server系统提供的组战略模板中并没有我们想要的屏蔽U盘的战略，但我们可以手动修正系统的模板文件，使组战略模板具备屏蔽U盘的战略，实践上根据其原理，凡是修正注册表能做到的，根本上都可以在域中运用组战略实现。# I+ Y- H 1 A

7、9 z9 x( X7 u/ A6 i2 r) 实现方法* C( w* u3 |/ ! 8 1、在域控制器上翻开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位Organizational Unit 简称OU，右键查看此组织单位的属性，点击组战略页面，新建一个组战略，命名并保管为“屏蔽U盘，建好后，双击“屏蔽U盘必需先翻开一次，否那么系统不会拷贝那几个模板文件，在翻开的标题为“组战略的窗口的左边，按以下顺序定位“用户配置管理模板-Windows组件-Windows资源管理器，选中Windows资源管理器，在右边的窗口中会显示如图1所示。4 s! Q! & 9 9 J b6

8、 M N, U# H* ?1 r6 M 0 e7 F1 k5 / M- y4 ?/ P5 ?3 W0 g我们可以看到有“隐藏我的电脑中的这些指定的驱动器和“防止从我的电脑访问驱动器，双击翻开其中一项战略，选择“启用，下面的下拉框会变亮，单击下拉框，如图2所示，您会发现系统提供了7种限制访问驱动器号的组合，其中也包括了“不限制驱动器，显然，这些组合不能满足我们的要求由于U盘的盘符通常是排在最后的，而且如今的硬盘比较大，少那么也有三四个分区。- T4 u7 s( w2 / x g8 ; P$ G- / e! t1 l* N, f2 f B+ i3 V$ N1 D- m& F; U B* J2、在域

9、控制器上翻开Active Directory 用户和计算机，在刚刚我们新建的“屏蔽U盘战略上单击右键选择查看属性，在如图3所示的位置找到屏蔽U盘的组战略的独一的称号，此称号为一长串数字和字母组成，本例中为82F86A8E-B345-4DDC-A304-E448F6E900A9，记下此字符串。 V, g1 H1 L0 j3 4 l H1 O. ?+ j: s+ f( x m- V, s& z c W$ K( w, B8 b9 Y; t1 q7 D3、翻开系统盘，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夹，此文件夹位于“C:WINNTSYSVOLba

10、lingPolicies下盘符依赖于您安装的操作系统所在的分区，留意其中baling是您的Windows 2000的域名，翻开82F86A8E-B345-4DDC-A304-E448F6E900A9目录，找到ADM目录下的system.adm文件，此文件是我们在实施组战略的模板文件，是一个纯文本文件，可用记事本翻开，找到下面这两段代码：* H$ V$ q a5 P* M3 V2 5 G 援用:0 S- d7 L* e+ J3 N3 M* POLICY !NoDrives H- : u9 Q R9 D7 _7 X* c- EXPLAIN !NoDrives_Help _7 u& R$ % d(

11、J# tPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED- U2 V! y$ ( K DVALUENAME NoDrives: g& C r5 D6 K) h9 cITEMLIST5 i- A4 h: B9 n) L3 NAME !ABOnly VALUE NUMERIC 3) t2 i/ a( ?3 rNAME !COnly VALUE NUMERIC 4, Z, S! e4 F: r3 q7 dNAME !DOnly VALUE NUMERIC 83 ( F/ j3 6 x3 U+ a d NAME !ABConly VALUE NUM

12、ERIC 7. & e+ W& g5 N7 e% f- dNAME !ABCDOnly VALUE NUMERIC 15% Y1 Z2 K, 0 c+ HNAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT 4 l; Z! r4 X7 U( w( 4 N: F( z2 s; low 26 bits on (1 bit per drive)- n+ y B% # 2 NAME !RestNoDrives VALUE NUMERIC 0# d9 r/ , P: g: b9 e6 yEND ITEMLISTk% Y. 8 i$ C9 g+ Q END PART

13、 ( c+ x0 F* A0 z : v) mEND POLICY) l2 r& f) D& v1 A1 v8 S% M: v* POLICY !NoViewOnDrive9 m/ j/ a t EXPLAIN !NoViewOnDrive_Help+ M# m: / s# O( N1 |( F( D- ?! vPART !NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED, q I ?$ b/ e# A+ pVALUENAME NoViewOnDrive# s5 t0 $ b, o7 % Y& t: rITEMLIST8 x6 N/ c% t& P7

14、z# u) F- oNAME !ABOnly VALUE NUMERIC 38 P5 C- Q, F% o2 F- X2 lNAME !COnly VALUE NUMERIC 4; . t5 h: W6 K) # NAME !DOnly VALUE NUMERIC 89 D! s) e u! u J+ % wNAME !ABConly VALUE NUMERIC 7, X% , G* Y. U9 JNAME !ABCDOnly VALUE NUMERIC 151 2 V% # a. oNAME !ALLDrives VALUE NUMERIC 67108863 DEFAULT r& b$ d1

15、 o1 A6 z( s* e ; low 26 bits on (1 bit per drive)F! A: J9 g# 8 h9 $ W. RNAME !RestNoDrives VALUE NUMERIC 0: / s& h2 * X/ q: I END ITEMLIST1 M, a2 Q- 9 END PART 3 F8 u; q$ O+ L6 y& |. g3 l% u! b. MEND POLICY% c% G/ L1 p% Y+ ) H. q8 * U: v/ d: t阐明：这是两个战略，第一个!NoDrive，它的作用是在我的电脑中不显示指定的驱动器名，驱动器号代表的一切驱动器不

16、出如今规范的翻开对话框上，但是在地址栏中输入盘符或新建一个指向硬盘盘符的快捷方式，用户依然可以访问该驱动器；第二个!NoViewOnDrive的作用是阻止用户访问驱动器。可以阻止上述情况的出现，但是仅仅用第二个的话，用户可以看见该驱动器的盘符，但不能访问，普通情况，两个同时运用，可以到达比较理想的效果。 * m7 d y r6 S% M Z. 0 X( t1 b! i5 ?0 l仔细察看上述代码，不难发现，其中一共有7个NAME项，正好和我们图2下拉框中的一一对应，后面的VALUE NUMERIC按照low 26 bits on (1 bit per drive)的规那么取值，low 26 b

17、its on的意思说值为26位的二进制，最多可指定26个驱动器盘符，而1 bit per drive那么代表1位代表1个驱动器，举例说A=1，B=2，C=4，D=8，E=16，F=32，G=64，H=128，I=256，由低到高，以此类推。我们可根据我们的需求修正此代码段，假设我们要隐藏A、B、C、F、G、H、I，您可以根据您的需求而定，引荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端一切的USB接口数防止有人同时插入几个U盘，呵呵！。那么我们计算出VALUE NUMERIC的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487，在两个战略中的5 m6 X

18、 D7 k. L; o Z) 1 j# KNAME !ABCDOnly VALUE NUMERIC 159 ?/ y : e) |下插入一行9 N( u4 ?; & W0 DNAME !ABCFGHIOnly VALUE NUMERIC 4874 i% E8 v S! k3 T, R- ! Y0 O- ?. z9 I1 u& q( g随后，移到System.adm文件的末尾，在 ABConly=仅限制驱动器 A、B 和 C 下面插入一行数据，ABCFGHIOnly=仅限制驱动器A、B、C、F、G、H、I( T2 G L: D: f7 # l等于号后引号内的阐明您可以根据本人的喜好定义，它将会显

19、示在如图2的下拉框中。保管后，翻开“屏蔽U盘战略，定位“用户配置-管理模板-Windows 组件-Windows 资源管理器，在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器或“防止从我的电脑访问驱动器其中的一个，点击“启用，再点击下拉框，哈哈，您会发现您多了一个选项如图4。, x m2 v; 8 + n9 j9 t# - N8 I# b4 i( i/ a: $ t8 a! s: r4 N- v) p% W9 O% J( ; 这时候，您只需在您想屏蔽的用户的组织单位上运用此战略别忘了这两个战略都需求设置，保管后，包含于该组织单位下的用户登录时，便会发现他的U盘插上后，系统虽能识别并正确安装

20、驱动，但在“我的电脑中却无法看见，并且经过其他方法也无法访问，包括在地址栏中输入盘符。; m% * c h; v+ |1 I+ n h9 s$ I/ _7 b至此，全部设置终了，让您的客户段运用此OU下的用户登录看看吧！: N# u* ( Q7 y: A8 r; 2 W9 o+ l! K: v; x: N( 4 o2 N$ Y+ k2 m其他本卷须知：8 L3 Z9 ?% K* t/ V. s+ t- f$ J. e- f5 q6 ( S5 B4 q: k1 e2 S1、这种方法在您的客户端很多的时候，很方便，您只需确保客户端登录用户属于您已运用此组战略的OU下即可，假设暂时需求允许他运用U盘，那只需把该用户移出此OU，该用户再注销重新登录一下就OK。; 2 P5 r! V N; r8 Q( q5 H! z: z H e* j2、需