AD组策略禁用U盘

1、Windows组策略屏蔽U盘有妙法(图)Windows组策略屏蔽U盘有妙法(图) HYPERLINK /strategy/354355.html ChinaITLab收集整理 笔者在一家区级法院网络中心工作，为确保局域网内的计算机安全，省高院要求全省联网的法院客户端的机器光软驱都要拆除，而且禁止在局域网内使用U盘。我们知道，现在局域网中使用的操作系统绝大多数都是Windows系列，对于Windows 98说，做到这些并不难，因为U盘第一次使用时需要安装相应的驱动程序，拆除了光、软驱后，驱动无法安装，U盘也就无法使用，但对于Windows 2000、Windows XP来说，情况就不同了，用过U

2、盘的人都知道这些操作系统不需要安装驱动，U盘即插即用。对于大多数用户来说，这的确很方便，但对于单位有要求的网管来说，就头疼了，现在新买的机器不能总是安装Windows 98吧，毕竟Windows 98就要“下岗”了，但面对U盘，却没有好的办法，也许您会想到可以在BIOS设置里屏蔽USB端口，但这是“宁可错杀一千，不能放过一个”的办法，如果您的单位客户端没有使用USB接口的键盘、鼠标、打印机等设备，那您完全可以采用此方法，不过您以后采购设备的时候要注意了，最好不要采购USB设备，除非咱们网管自己用，哈哈！那有没有简单易行的办法呢？经过一段时间摸索和试验，笔者终于找到了使用修改组策略模板的方法实现

3、此目标。 实现条件当然这是有前提条件的，首先，您的局域网必须以域为架构（我们知道Windows 2000、Windows XP自己都自带有组策略编辑器，使用组策略编辑器可单独编辑每台机器的策略，而使用域时，只要用户登录到域，就会自动应用策略，在服务器端修改一次，就可以在全域实现管理目标，如果不采用域模式，您需要每台都要设置组策略，失去了效率，也就没有采用的必要了）。其次，客户端必须以域用户的身份登录网络，且不能被赋予客户端本机管理员的权限。客户端操作系统推荐使用Windows 2000和Windows XP，虽然Windows 98也能在域环境下应用组策略，但Windows 2000 Serv

4、er组策略对Windows 98的支持并不完全，且需要采用两种完全不同的方法分别管理他们，会对您以后的网络管理带来不便。特别说明：这里介绍的方法并不适用于Windows 98，只适用于服务器端安装Windows 2000 Server或Windows Server 2003。只要您的网络满足以上条件，我们就可以利用组策略屏蔽U盘，而对于其他USB设备却无任何影响，笔者在单位实施1年多来，效果很好，现将详细方法介绍出来，希望能给众多网管们提供一点借鉴。基本原理组策略实现的原理实际上就是修改注册表，当域用户登录到域上时，系统会对指定的客户端实施组策略，也即修改客户端的注册表，当我们新建了一个组策略

5、时，系统实际上是拷贝了三个模板文件，在您修改组策略时，实际上是在修改这些模板的副本，然后把这些策略应用到指定的客户端中去，然而Windows 2000 Server系统提供的组策略模板中并没有我们想要的屏蔽U盘的策略，但我们可以手动修改系统的模板文件，使组策略模板具备屏蔽U盘的策略，实际上根据其原理，凡是修改注册表能做到的，基本上都可以在域中使用组策略实现。实现方法1、在域控制器上打开Active Directory用户和计算机，找到您要屏蔽U盘的组织单位（Organizational Unit 简称OU），右键查看此组织单位的属性，点击组策略页面，新建一个组策略，命名并保存为“屏蔽U盘”，建

6、好后，双击“屏蔽U盘”（必需先打开一次，否则系统不会拷贝那几个模板文件），在打开的标题为“组策略”的窗口的左边，按以下顺序定位“用户配置管理模板-Windows组件-Windows资源管理器”，选中Windows资源管理器，在右边的窗口中会显示如图1所示。我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”，双击打开其中一项策略，选择“启用”，下面的下拉框会变亮，单击下拉框，如图2所示，您会发现系统提供了7种限制访问驱动器号的组合，其中也包括了“不限制驱动器”，显然，这些组合不能满足我们的要求（因为U盘的盘符通常是排在最后的，而且现在的硬盘比较大，少则也有三四个分区

7、）。2、在域控制器上打开Active Directory 用户和计算机，在刚才我们新建的“屏蔽U盘”策略上单击右键选择查看属性，在如图3所示的位置找到屏蔽U盘的组策略的唯一的名称，此名称为一长串数字和字母组成，本例中为82F86A8E-B345-4DDC-A304-E448F6E900A9，记下此字符串。3、打开系统盘，定位以82F86A8E-B345-4DDC-A304-E448F6E900A9命名的文件夹，此文件夹位于“C:WINNTSYSVOLPolicies”下（盘符依赖于您安装的操作系统所在的分区），注意其中是您的Windows 2000的域名，打开82F86A8E-B345-4DD

8、C-A304-E448F6E900A9目录，找到ADM目录下的system.adm文件，此文件是我们在实施组策略的模板文件，是一个纯文本文件，可用记事本打开，找到下面这两段代码： 引用:* POLLICYY !NoDDrivves EXPPLAIIN !NooDriivess_HeelpPARRT !NooDriivessDroopdoown DROOPDOOWNLLISTT NOOSORRT RREQUUIREEDVALLUENNAMEE NNoDrriveesITEEMLIISTNAMME !ABBOnlly VVALUUE NNUMEERICC 3NAMME !COOnlyy VAALU

9、EE NUUMERRIC 4NAMME !DOOnlyy VAALUEE NUUMERRIC 8NAMME !ABBConnly VALLUE NUMMERIIC 77NAMME !ABBCDOOnlyy VAALUEE NUUMERRIC 15NAMME !ALLLDrrivees VVALUUE NNUMEERICC 67710888633 DEEFAUULT ; llow 26 bitts oon (1 bbit perr drrivee)NAMME !ReestNNoDrrivees VVALUUE NNUMEERICC 0ENDD ITTEMLLISTT ENDD PAART END

10、D POOLICCY* PPOLIICY !NNoViiewOOnDrrivee EXPPLAIIN !NooVieewOnnDriive_HellpPARRT !NooDriivessDroopdoown DROOPDOOWNLLISTT NOOSORRT RREQUUIREEDVALLUENNAMEE NNoViiewOOnDrriveeITEEMLIISTNAMME !ABBOnlly VVALUUE NNUMEERICC 3NAMME !COOnlyy VAALUEE NUUMERRIC 4NAMME !DOOnlyy VAALUEE NUUMERRIC 8NAMME !ABBConn

11、ly VALLUE NUMMERIIC 77NAMME !ABBCDOOnlyy VAALUEE NUUMERRIC 15NAMME !ALLLDrrivees VVALUUE NNUMEERICC 67710888633 DEEFAUULT ; loww 266 biits on (1 bitt peer ddrivve)NAMME !ReestNNoDrrivees VVALUUE NNUMEERICC 0 ENDD ITTEMLLISTT ENDD PAART ENND PPOLIICY说明：这是两两个策略略，第一一个!NoDDrivve，它它的作用用是在我我的电脑脑中不显显示指定定的驱

12、动动器名，驱驱动器号号代表的的所有驱驱动器不不出现在在标准的的打开对对话框上上，但是是在地址址栏中输输入盘符符或新建建一个指指向硬盘盘盘符的的快捷方方式，用用户仍然然可以访访问该驱驱动器；第二个个!NNoViiewOOnDrrivee的作用用是阻止止用户访访问驱动动器。可可以阻止止上述情情况的出出现，但但是仅仅仅用第二二个的话话，用户户可以看看见该驱驱动器的的盘符，但但不能访访问，一一般情况况，两个个同时使使用，可可以达到到比较理理想的效效果。 仔仔细观察察上述代代码，不不难发现现，其中中一共有有7个NNAMEE项，正正好和我我们图22下拉框框中的一一一对应应，后面面的VAALUEE NUUM

13、ERRIC按按照loow 226 bbitss onn (11 biit pper driive)的规则则取值，llow 26 bitts oon的意意思说值值为266位的二二进制，最最多可指指定266个驱动动器盘符符，而11 biit pper driive则则代表11位代表表1个驱驱动器，举举例说AA=1，BB=2，CC=4，DD=8，EE=166，F=32，GG=644，H=1288，I=2566，由低低到高，以以此类推推。我们们可根据据我们的的需要修修改此代代码段，假假如我们们要隐藏藏A、BB、C、FF、G、HH、I，您您可以根根据您的的需要而而定，推推荐隐藏藏的盘符符数量应应该大于于

14、您的现现有的盘盘符数加加上您客客户端所所有的UUSB接接口数（防防止有人人同时插插入几个个U盘，呵呵呵！）。那那么我们们计算出出VALLUE NUMMERIIC的数数值A+B+CC+F+G+HH+I = 11+2+4+332+664+1128+2566 =4487，在在两个策策略中的的NNAMEE !ABCCDOnnly VALLUE NUMMERIIC 115下插入入一行NAAME !AABCFFGHIIOnlly VVALUUE NNUMEERICC 4887随后，移移到Syysteem.aadm文文件的末末尾，在在 ABBConnly=仅限限制驱动动器 AA、B 和 CC 下下面插入入一

15、行数数据，ABCCFGHHIOnnly=仅限限制驱动动器A、BB、C、FF、G、HH、I等于号号后引号号内的说说明您可可以根据据自己的的喜好定定义，它它将会显显示在如如图2的的下拉框框中。保保存后，打打开“屏屏蔽U盘盘”策略略，定位位“用户户配置-管理模模板-WWinddowss 组件件-Wiindoows 资源管管理器”，在在右边的的窗口中中双击“隐隐藏我的的电脑中中的这些些指定的的驱动器器”或“防防止从我我的电脑脑访问驱驱动器”其其中的一一个，点点击“启启用”，再再点击下下拉框，哈哈哈，您您会发现现您多了了一个选选项（如如图4）。这时候，您只要在您想屏蔽的用户的组织单位上应用此策略（别忘了

16、这两个策略都需要设置），保存后，包含于该组织单位下的用户登录时，便会发现他的U盘插上后，系统虽能识别并正确安装驱动，但在“我的电脑”中却无法看见，并且通过其他方法也无法访问，包括在地址栏中输入盘符。至此，全部设置完毕，让您的客户段使用此OU下的用户登录看看吧！其他注意事项：1、这种方法在您的客户端很多的时候，很方便，您只要确保客户端登录用户属于您已应用此组策略的OU下即可，如果暂时需要允许他使用U盘，那只要把该用户移出此OU，该用户再注销重新登录一下就OK。2、需要注意的是，您在OU中建立用户时，用户缺省是属于Domain users组，这对于大多数软件来说没有问题，但会使有些软件无法安装或运行，您可以赋予这些用户在客户端本机的Power user组的权限，即可解决。3、注意这种方法同时也屏蔽了您的光驱盘符，光驱也是不能访问的。当然U盘都屏蔽了，我想光驱就更该屏蔽了，呵呵！如果实在要访问，可以在计算机管理中的磁盘管理中赋予光驱一个靠后的盘符即可。4、OU是可以嵌套的，客户端组策略的应用是从域根到OU再到子OU，而且是可以覆盖的，除非您选定了“阻止策略继承”。如果您在